CVE-2026-61462
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/07/2026
Última modificación:
13/07/2026
Descripción
*** Pendiente de traducción *** mcp-gitlab contains a path traversal vulnerability in the job_id parameter of build/index.js that allows attackers to redirect GitLab API requests to arbitrary endpoints. Attackers can supply crafted job_id values like ../../../user to escape the intended path prefix and access arbitrary GitLab API resources using the operator's personal access token.
Impacto
Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/zereight/gitlab-mcp
- https://github.com/zereight/gitlab-mcp/commit/e2a81a047ab8750fa5bfa1763b5d85e5616f3994
- https://github.com/zereight/gitlab-mcp/issues/587
- https://www.vulncheck.com/advisories/mcp-gitlab-path-traversal-via-job-id-parameter
- https://github.com/zereight/gitlab-mcp/issues/587



