GitLab dicht meerdere kwetsbaarheden in CE/EE: update nu naar 19.0.1, 18.11.4 of 18.10.7

GitLab heeft beveiligingsupdates uitgebracht voor zowel Community Edition als Enterprise Edition. De fixes zitten in patchreleases 19.0.1, 18.11.4 en 18.10.7, gepubliceerd op 27 mei 2026. GitLab.com draait al de gepatchte versie; voor GitLab Dedicated is geen actie nodig. Zelfbeheerde installaties wordt aangeraden zo snel mogelijk te upgraden. Deze patchreleases bevatten geen nieuwe migraties en vergen in multi‑node omgevingen normaliter geen downtime. (docs.gitlab.com)

Wat is er verholpen?
De updates pakken kwetsbaarheden aan rond authenticatie, autorisatie en validatie. In gewone taal: onder bepaalde omstandigheden konden gebruikers rechten krijgen die ze niet horen te hebben, procesbeperkingen omzeilen of de dienst verstoren. De belangrijkste punten:

• Duo AI-workflows: door een fout in de identiteitsbepaling kon een geauthenticeerde gebruiker specifieke Duo AI‑workflows laten draaien “alsof” hij een andere gebruiker was (impersonatie). Dit issue is aangemerkt als CVE-2026-4868 en raakt GitLab EE. (nvd.nist.gov)
• DoS via Wiki: onvoldoende validatie in de Wiki kon een denial‑of‑service veroorzaken door ingelogde gebruikers. Vastgelegd als CVE-2026-1402. (app.opencve.io)
• Projecten enumereren: via onjuiste autorisatie in de GraphQL WorkItem API konden onbevoegde gebruikers private projecten “op lijst zetten” en zo gevoelige informatie afleiden. CVE-2026-6713. (nvd.nist.gov)
• Duo Workflows API: ontwikkelaars konden groep‑brede flow‑restricties omzeilen door gebrekkige controles. CVE-2026-5296. (nvd.nist.gov)
• Operations/deployments: door ontbrekende autorisatiechecks konden users met developer‑rechten onder omstandigheden toegang krijgen tot gevoelige deploymentdata. CVE-2026-2601. (incibe.es)
• CI‑pijplijnen: een fout in naamresolutie maakte het mogelijk CI‑data van een ander ref‑type te bekijken dan bedoeld. CVE-2026-8716. (nvd.nist.gov)

Welke versies zijn geraakt?
De kwetsbaarheden bestrijken verschillende reeksen; de fixes zijn samengebracht in 18.10.7, 18.11.4 en 19.0.1. Afhankelijk van de specifieke CVE lopen de getroffen versies uiteen van oudere 11.x/12.x‑reeksen tot en met 19.0.0. Controleer dus je eigen versie en update naar een van de genoemde patchniveaus. Ook nationale CERTs verwijzen naar deze patchreleases en adviseren direct bij te werken. (docs.gitlab.com)

Let op rond CVE‑2026‑2710
In de release-informatie wordt CVE‑2026‑2710 genoemd als “Incorrect Authorization” in bepaalde authenticatie‑endpoints. Dit CVE is inmiddels door de CVE‑nummerautoriteit (GitLab) ingetrokken en heeft geen verdere impact. (tenable.com)

Directe acties voor beheerders

• Update vandaag nog naar 19.0.1, 18.11.4 of 18.10.7, afhankelijk van je huidige tak. De releases zijn speciaal bedoeld om deze beveiligingsproblemen te dichten. (docs.gitlab.com)
• Gebruik je GitLab Duo‑flows? Controleer de configuratie van Duo Workflows en runners, en verifieer dat flow‑restricties op groepsniveau correct worden afgedwongen. Beperk rechten van service‑ en projecttokens tot het minimum. (docs.gitlab.com)
• Herzie developer‑rechten in projecten met gevoelige deployment‑ of operations‑data. Least privilege helpt misbruik te voorkomen. (Best practice.)
• Monitor en onderzoek logs op signalen van misbruik, zoals ongebruikelijke GraphQL‑aanroepen, massale project‑enumeratiepogingen of CI‑datatoegang vanaf onverwachte refs. (Best practice.)
• Harden je instance: dwing 2FA af, zet registraties en zichtbaarheid strak, en stel rate‑limits in voor API en web. GitLab beschrijft deze basismaatregelen overzichtelijk. (about.gitlab.com)

Waarom dit ertoe doet
GitLab‑omgevingen bevatten broncode, secrets en release‑pijplijnen. Kwetsbaarheden in autorisatie of validatie kunnen zo leiden tot datalekken, supply‑chainrisico’s of stilstand in je ontwikkelproces. Snel upgraden beperkt die risico’s aanzienlijk. De fixes zijn beschikbaar en door GitLab.com al toegepast; voor zelfbeheerde omgevingen is het zaak om hetzelfde te doen. (docs.gitlab.com)

Nuttige referenties

• Patchrelease met alle fixes en context (19.0.1/18.11.4/18.10.7). (docs.gitlab.com)
• Overheidsadvies met update‑aanwijzing en versies. (cyber.gc.ca)
• Individuele CVE‑beschrijvingen: CVE‑2026‑4868 (Duo impersonatie), CVE‑2026‑1402 (DoS/Wiki), CVE‑2026‑6713 (project‑enumeratie), CVE‑2026‑5296 (flow‑restrictie‑bypass), CVE‑2026‑2601 (deployment‑data), CVE‑2026‑8716 (CI‑data). (nvd.nist.gov)
• Status van het ingetrokken CVE‑2026‑2710. (tenable.com)

Samengevat: installeer de nieuwste patchrelease voor jouw tak, controleer je Duo‑ en toegangsinstellingen, en pas basis‑hardening toe. Zo houd je code, pipelines en teams veilig en draaiend. (docs.gitlab.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.