CVE-2026-1090: Kritische JavaScript-Injektion in GitLab-Markdown-Funktion
⚠️ CVE-Referenzen:
CVE-2026-1090
Zusammenfassung
Eine Sicherheitslücke in GitLab CE/EE ermöglichte es Nutzern, bei aktivierter "markdown_placeholders"-Funktion, JavaScript in Browsern zu injizieren. Das Problem betraf Versionen 10.6 bis 18.7.5, 18.8 bis 18.8.5 und 18.9 bis 18.9.1. GitLab hat das Problem in den Versionen 18.7.6, 18.8.6 und 18.9.2 behoben.
GitLab has remediated an issue in GitLab CE/EE affecting all versions from 10.6 before 18.7.6, 18.8 before 18.8.6, and 18.9 before 18.9.2 that could have allowed an authenticated user, when the `markdown_placeholders` feature flag was enabled, to inject JavaScript in a browser due to improper sanitization of placeholder content in markdown processing.
Quelle: app.opencve.io