Vulnerabilities in GitLab

1,068 results
Vexday analysis

Com 1.068 CVEs catalogadas e 78 novas surgidas nos últimos 90 dias, o GitLab apresenta um volume de vulnerabilidades que exige monitoramento contínuo. A taxa de exploração ativa está abaixo da média geral do catálogo KEV, com 4 CVEs confirmadas em uso por agentes de ameaça, mas a presença de 83 vulnerabilidades com prova de conceito pública e 24 de severidade crítica amplia consideravelmente a superfície de risco. O destaque mais preocupante é CVE-2021-22205, atualmente a CVE mais perigosa em exploração ativa, com EPSS de 0,9973 — valor que indica probabilidade altíssima de exploração —, e cuja falha de tipo mais recorrente na plataforma, CWE-770 (alocação de recursos sem limites adequados), sugere atenção redobrada a controles de validação de entrada e gestão de recursos. Equipes de segurança devem priorizar a remediação das CVEs com PoC disponível e manter rastreamento próximo das novas emissões, dado o ritmo relevante de descobertas recentes.

CVE-2026-1090HIGHImproper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLabEPSS 0.2%CVE-2026-1747MEDIUMAuthentication Bypass Using an Alternate Path or Channel in GitLabEPSS 0.2%CVE-2026-3607MEDIUMAccess Control Check Implemented After Asset is Accessed in GitLabEPSS 0.2%CVE-2024-8402LOWImproper Neutralization of Special Elements used in a Command ('Command Injection') in GitLabEPSS 0.2%CVE-2025-5069LOWIncorrect Ownership Assignment in GitLabEPSS 0.2%CVE-2025-2498LOWInsufficient Granularity of Access Control in GitLabEPSS 0.2%CVE-2025-3950LOWExposure of Private Personal Information to an Unauthorized Actor in GitLabEPSS 0.2%CVE-2025-12073MEDIUMServer-Side Request Forgery (SSRF) in GitLabEPSS 0.2%CVE-2024-4278MEDIUMIncorrect Synchronization in GitLabEPSS 0.2%CVE-2025-12734LOWImproper Encoding or Escaping of Output in GitLabEPSS 0.2%CVE-2026-3160MEDIUMUnintended Proxy or Intermediary ('Confused Deputy') in GitLabEPSS 0.2%CVE-2025-11971MEDIUMIncorrect Authorization in GitLabEPSS 0.2%CVE-2023-5600LOWMissing Authorization in GitLabEPSS 0.2%CVE-2026-5262HIGHImproper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLabEPSS 0.2%CVE-2026-1606MEDIUMImproper Control of Generation of Code ('Code Injection') in GitLabEPSS 0.2%CVE-2025-4700HIGHImproper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLabEPSS 0.2%CVE-2026-10712HIGHImproper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLabEPSS 0.2%CVE-2025-1540LOWIncorrect Authorization in GitLabEPSS 0.2%CVE-2026-5377MEDIUMIncorrect Authorization in GitLabEPSS 0.2%CVE-2026-10733MEDIUMImproper Restriction of Rendered UI Layers or Frames in GitLabEPSS 0.2%