GitLab behebt Sicherheitslücken in Duo AI, DoS und Autorisierung für Community- und Enterprise-Version

GitLab.com läuft bereits mit der gepatchten Version, und Kunden müssen keine Maßnahmen ergreifen. GitLab behebt Duo AI und DoS-Schwachstellen.

Das schwerwiegendste Problem ist eine hochgradige Zugriffskontroll-Schwachstelle in den Duo AI Workflow-Runnern, die unter CVE-2026-4868 geführt wird und GitLab EE ab Version 18.8 bis einschließlich, aber nicht einschließlich der Versionen 18.10.7, 18.11.4 und 19.0.1 betrifft.

Unter bestimmten Bedingungen konnte ein authentifizierter Benutzer aufgrund fehlerhafter Benutzeridentitätsauflösung in der Workflow-Runner-Logik bestimmte Duo AI-Workflows unter der Identität eines anderen Benutzers ausführen, was einer CVSS 3.1-Bewertung von 8.2 entspricht.

Sicherheitslage und Risiko

Dies könnte bei fehlender Pflüchung eine laterale Bewegung oder Missbrauch ützten Workflows ermöglichen. GitLab hat zudem eine Denial-of-Service-Schwachstelle im Wiki-Komponenten behoben, die als CVE-2026-1402 verfolgt wird und GitLab CE/EE in den Versionen von 17.1 bis zu den unpatchten Zweigen 18.10, 18.11 und 19.0 betrifft.

Aufgrund unzureichender Eingabevalidierung konnte ein authentifizierter Benutzer Inhalte erstellen, die Ressourcen erschöpfen und das Wiki unbrauchbar machen, was einer CVSS-Bewertung von 6.5 entspricht.

Parallel dazu behebt CVE-2026-6713 fehlerhafte Autorisierungsprüfungen in der GraphQL WorkItem API, die es unter bestimmten Bedingungen nicht authentifizierten Benutzern ermöglichen könnte, private Projekte aufzulisten, bewertet mit 5,3 auf der CVSS-Skala.

Sicherheitslage und Risiko

Mehrere Sicherheitslücken mittlerer Schwere in GitLab EE-Betrieb und Duo-Funktionen wurden ebenfalls behoben. CVE-2026-5296 behebt eine fehlerhafte Berechtigungsverwaltung in der Duo Workflows API, die es einem Benutzer mit Entwicklerrolle ermöglichte, Flow-Beschränkungen zu umgehen, wenn grundlegende Flows auf Gruppenebene aktiviert sind.

CVE-2026-2601 korrigiert fehlende Berechtigungsprüfungen, die sensible Bereitstellungsdaten für Benutzer auf Entwicklerebene offengelegt hätten. Darüber hinaus behebt CVE-2026-8716 ein fehlerhaftes Namensauflösungsverhalten in Pipelines, das Zugriff auf CI-Daten aus einem anderen Referenztyp ermöglicht hätte.

CVE-2026-2710 stellt sicher, dass gesperrte Projektzugriffstoken über bestimmte Authentifizierungsendpunkte keinen Zugriff auf private Ressourcen erhalten.

Sicherheitslage und Risiko

Alle diese Schwachstellen wurden in den Versionen 19.0.1, 18.11.4 und 18.10.7 behoben, die zudem mehrere Stabilitäts- und Performance-Backports enthalten, darunter Aktualisierungen für zlib, nginx, Mattermost, den Elasticsearch-Indexer und GitLab Shell.

Die Updates führen keine neuen Datenbankmigrationen ein und können bei typischen Multi-Node-Deployments unter Einhaltung der Zero-Downtime-Richtlinien werden.

Organisationen, die sind, werden dringend aufgefordert, die Aktualisierungen vorrangig durchzuführen, ihre Instanzen auf Missbrauch der Duo AI- oder Wiki-Funktionen zu überwachen und sich an die veröffentlichten Best Practices Self-Managed-Deployments zu halten.

Entdecken Sie Shadow APIs und schließen Sie OWASP-Lücken – nehmen Sie an einem kostenlosen Webinar teil, um jede API zur Laufzeit zu sichern. Der Beitrag „GitLab Patches Multiple Duo AI, DoS, and Authorization Flaws in Community and Enterprise Edition" erschien erstmals auf