CVE-2026-2619GitLab企业版(EE)存在授权不正确漏洞。受影响版本包括18.6至18.8.9之前、18.9至18.9.5之前以及18.10至18.10.3之前的版本。在特定情况下,拥有审计员权限的经过身份验证的用户,由于系统授权检查缺失或错误,能够违规修改私有项目中的漏洞标志数据,从而影响漏洞管理数据的完整性。
该漏洞根源于GitLab EE在处理私有项目漏洞标志数据修改请求时的授权逻辑缺陷。系统未能准确区分“审计员”角色与具备写权限角色的操作边界。审计员角色通常仅被赋予只读或合规检查权限,但在受影响版本中,针对修改漏洞标志状态的后端API接口未实施严格的权限隔离。攻击者利用合法的审计员凭证登录后,可向目标端点发送特制的HTTP请求(如PUT/PATCH操作),绕过了基于角色的访问控制(RBAC)检查。由于系统错误地允许了低权限的审计员账户执行高权限的写入操作,导致攻击者能够篡改私有项目中的漏洞标志信息。这属于典型的业务逻辑越权漏洞,破坏了数据的完整性和审计追踪的准确性。