GitLab-Patch schließt mehrere Sicherheitslücken
Dieser Bericht fasst die IT-Sicherheit-Nachrichten vom 2026-06-15 zusammen und basiert ausschließlich auf den Originaltexten der Quellen.
GitLab-Patch schließt mehrere Sicherheitslücken
Laut about.gitlab.com hat GitLab am 10. Juni 2026 die Versionen 19.0.2, 18.11.5 und 18.10.8 veröffentlicht. Sie gelten für GitLab Community Edition (CE) und Enterprise Edition (EE).
Diese Versionen enthalten wichtige Fehler- und Sicherheitskorrekturen. GitLab empfiehlt dringend, alle selbst verwalteten Installationen sofort auf eine dieser Versionen zu aktualisieren.
Wer handeln muss
GitLab.com läuft bereits mit der gepatchten Version. Kunden von GitLab Dedicated müssen nichts tun.
GitLab veröffentlicht Korrekturen für Schwachstellen in sogenannten Patch-Releases. Es gibt zwei Arten: geplante Releases und kurzfristige (Ad-hoc-)Patches für schwerwiegende Lücken.
Geplante Releases erscheinen zweimal im Monat, jeweils am zweiten und vierten Mittwoch. Die Details zu jeder Schwachstelle werden erst 30 Tage nach dem Release öffentlich gemacht.
Die wichtigsten Sicherheitskorrekturen
GitLab nennt mehrere Schwachstellen mit eigener CVE-Nummer. Die folgende Tabelle zeigt die Lücken, zu denen das Unternehmen genaue Angaben macht.
| CVE | Problem | Produkt | Schwere | CVSS |
|---|---|---|---|---|
| CVE-2026-6552 | Improper Access Control in Group SAML Identity API | GitLab EE | Hoch | 8.7 |
| CVE-2026-10087 | Cross-site Scripting in Analytics Dashboard | GitLab EE | Hoch | 8.7 |
| CVE-2026-7250 | Denial of Service in Grape API JSON parsing middleware | GitLab CE/EE | Hoch | 7.5 |
| CVE-2026-8589 | HTML injection in group setting fields | GitLab EE | Hoch | 7.3 |
| CVE-2026-1500 | Denial of Service in Group Placeholder Reassignments API | GitLab CE/EE | Mittel | 6.5 |
Konto-Übernahme über Group SAML
Bei CVE-2026-6552 konnte unter bestimmten Bedingungen ein angemeldeter Nutzer mit der Gruppenrolle Owner das Konto eines anderen Gruppenmitglieds übernehmen. Grund war eine fehlerhafte Autorisierung im Group SAML Identity Management.
Betroffen sind laut GitLab alle EE-Versionen ab 15.5 vor 18.10.8, 18.11 vor 18.11.5 und 19.0 vor 19.0.2. Gemeldet hat die Lücke cyberjoker über das HackerOne-Bug-Bounty-Programm.
Schadcode über das Analytics Dashboard
Bei CVE-2026-10087 konnte ein Nutzer mit Entwicklerrechten (Developer-Rolle) beliebigen clientseitigen Code im Namen eines anderen Nutzers ausführen. Ursache war eine mangelhafte Eingabeprüfung im Analytics Dashboard.
Betroffen sind alle EE-Versionen ab 17.1 vor 18.10.8, 18.11 vor 18.11.5 und 19.0 vor 19.0.2. Gemeldet hat die Lücke yvvdwf über HackerOne.
Denial of Service über die API
Bei CVE-2026-7250 konnte ein nicht angemeldeter Nutzer einen Denial of Service auslösen. Grund war eine fehlerhafte Eingabeprüfung in der Middleware, die API-Anfragen verarbeitet.
Betroffen sind alle CE/EE-Versionen ab 12.10 vor 18.10.8, 18.11 vor 18.11.5 und 19.0 vor 19.0.2. Gemeldet hat die Lücke svalkanov über HackerOne.
E-Mail-Adressen über Gruppen-Felder
Bei CVE-2026-8589 konnte ein angemeldeter Nutzer unbefugte E-Mail-Adressen zum Konto eines anderen Nutzers hinzufügen. Ursache war eine fehlerhafte Bereinigung von Eingaben in bestimmten Gruppeneinstellungsfeldern.
Betroffen sind alle EE-Versionen ab 13.1.4 vor 18.10.8, 18.11 vor 18.11.5 und 19.0 vor 19.0.2. Gemeldet hat die Lücke go7f0 über HackerOne.
Denial of Service über die Group Placeholder Reassignments API
Bei CVE-2026-1500 konnte ein angemeldeter Nutzer einen Denial of Service auslösen. Grund war ein Problem in der Group Placeholder Reassignments API.
Betroffen sind alle CE/EE-Versionen ab 17.10 vor 18.10.8, 18.11 vor 18.11.5 und 19.0 vor 19.0.2. Gemeldet hat die Lücke a92847865 über HackerOne.
Weitere behobene Probleme
GitLab nennt zusätzlich weitere Korrekturen mit den Stufen Medium und Low. Dazu zählen ein Improper-Access-Control-Problem in der Merge Requests API und eine Server-Side Request Forgery beim Repository-Import über Gitaly.
Ebenfalls behoben sind eine HTML-Injection im CI/CD Catalog, ein Zugriffsproblem in der Security Inventory sowie ein Authorization Bypass im Merge Request diff. Hinzu kommen Probleme in der Todos API und in der E-Mail-Vorlage des Service Desk.
GitLab betont, dass alle Kunden auf den neuesten Patch ihrer unterstützten Version aktualisieren sollten. Wird kein bestimmter Bereitstellungstyp genannt, sind alle Typen betroffen.
Fazit
Die heutigen IT-Sicherheit-Nachrichten zeigen, dass GitLab am 10. Juni 2026 die Versionen 19.0.2, 18.11.5 und 18.10.8 für Community Edition (CE) und Enterprise Edition (EE) veröffentlicht hat, um mehrere mit eigener CVE-Nummer versehene Schwachstellen zu schließen. GitLab empfiehlt selbst verwalteten Installationen ein sofortiges Update, während GitLab.com bereits gepatcht ist und Kunden von GitLab Dedicated nichts tun müssen. Geplante Patch-Releases erscheinen zweimal monatlich am zweiten und vierten Mittwoch, und die Schwachstellendetails werden erst 30 Tage nach dem Release öffentlich gemacht.
Häufig gestellte Fragen
Welche GitLab-Versionen sollte ich installieren, um die Lücken zu schließen?
GitLab hat am 10. Juni 2026 die Versionen 19.0.2, 18.11.5 und 18.10.8 für CE und EE veröffentlicht; selbst verwaltete Installationen sollten sofort auf eine dieser Versionen aktualisiert werden.
Muss ich als GitLab.com- oder GitLab-Dedicated-Nutzer selbst etwas tun?
Nein. GitLab.com läuft bereits mit der gepatchten Version, und Kunden von GitLab Dedicated müssen nichts unternehmen.
Wann werden die Details zu den behobenen Schwachstellen veröffentlicht?
Die Details zu jeder Schwachstelle werden erst 30 Tage nach dem jeweiligen Release öffentlich gemacht.