GitLab Community Edition/Enterprise Edition до 18.9.6/18.10.5/18.11.2 Private Project read_api эскалация привилегий

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
6.6$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в GitLab Community Edition and Enterprise Edition до 18.9.6/18.10.5/18.11.2 и классифицирована как проблематичный. Неизвестная функция компонента Private Project Handler поражена. Манипуляция приводит к Remote Privilege Escalation. Эта уязвимость однозначно идентифицируется как CVE-2026-1322. Атаку можно инициировать удаленно. Эксплойт недоступен. Рекомендуется выполнить обновление уязвимого компонента.

ПодробностиИнформация

Уязвимость была найдена в GitLab Community Edition and Enterprise Edition до 18.9.6/18.10.5/18.11.2 и классифицирована как проблематичный. Неизвестная функция компонента Private Project Handler поражена. Манипуляция приводит к Remote Privilege Escalation. Использование классификатора CWE для обозначения проблемы ведет к CWE-840. Слабость была опубликована специалистом mateuszek. Уведомление опубликовано для скачивания на hackerone.com.

Эта уязвимость однозначно идентифицируется как CVE-2026-1322. Присвоение CVE было выполнено 22.01.2026. Атаку можно инициировать удаленно. Технические детали доступны. Комплексность атаки достаточно высока. Эксплуатация представляется сложной. Популярность этой уязвимости ниже среднего. Эксплойт недоступен. Сейчас цена на эксплойт приблизительно равна USD $0-$5k.

Указано значение Не определено. Сканер уязвимостей Nessus предоставляет плагин с идентификатором 314550.

Переход на версию 18.9.7, 18.10.6 и 18.11.3 способен решить эту проблему. Обновлённая версия доступна для загрузки по адресу about.gitlab.com. Рекомендуется выполнить обновление уязвимого компонента.

Информация об уязвимости также содержится в других базах данных уязвимостей: Tenable (314550).

ПродуктИнформация

Тип

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔒
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 6.6
VulDB Meta Temp Score: 6.6

VulDB Базовый балл: 5.0
VulDB Временная оценка: 4.8
VulDB Вектор: 🔒
VulDB Надёжность: 🔍

NVD Базовый балл: 8.1
NVD Вектор: 🔒

CNA Базовый балл: 6.8
CNA Вектор (GitLab): 🔒

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍

ЭксплуатацияИнформация

Класс: эскалация привилегий
CWE: CWE-840
CAPEC: 🔒
ATT&CK: 🔒

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔒
Статус: Не определено

EPSS Score: 🔒
EPSS Percentile: 🔒

Прогноз цен: 🔍
Оценка текущей цены: 🔒

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Nessus ID: 314550
Nessus Имя: GitLab 16.0 < 18.9.7 / 18.10 < 18.10.6 / 18.11 < 18.11.3 (CVE-2026-1322)

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: Обновление
Статус: 🔍

0-дневное время: 🔒

Обновление: Community Edition/Enterprise Edition 18.9.7/18.10.6/18.11.3

ХронологияИнформация

22.01.2026 CVE присвоен
14.05.2026 +111 дни Консультация опубликована
14.05.2026 +0 дни Запись VulDB создана
19.05.2026 +5 дни Последнее обновление VulDB

ИсточникиИнформация

Поставщик: gitlab.com

Консультация: hackerone.com
Исследователь: mateuszek
Статус: Подтверждённый

CVE: CVE-2026-1322 (🔒)
GCVE (CVE): GCVE-0-2026-1322
GCVE (VulDB): GCVE-100-363812
EUVD: 🔒

ВходИнформация

Создано: 14.05.2026 08:43
Обновлено: 19.05.2026 10:56
Изменения: 14.05.2026 08:43 (67), 14.05.2026 09:40 (1), 14.05.2026 23:21 (2), 19.05.2026 10:56 (11)
Завершенный: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Обсуждение

Комментариев пока нет. Языки: ru + be + en.

Пожалуйста, войдите в систему, чтобы прокомментировать.

ПредыдущийОбзорДалее

Do you need the next level of professionalism?

Upgrade your account now!