GitLabは、大規模な脆弱性の波を中和するために緊急のセキュリティアップデートを発行しました。
脅威アクターはこれらの新たに開示された欠陥を悪用して、開発者セッションを静かに乗っ取るか、未認証の攻撃で継続的統合パイプラインを完全に麻痺させる可能性があります。
GitLabのセキュリティ脆弱性
2026年5月13日、GitLabはコミュニティエディション(CE)とエンタープライズエディション(EE)の両方に対して、重要なパッチバージョンをリリースしました18.11.3、18.10.6、および18.9.7。この包括的なセキュリティスイープは、25の異なる脆弱性を解決し、高い影響を持つクロスサイトスクリプティング(XSS)とサービス拒否(DoS)エクスプロイトに重点を置いています。
自己管理型インスタンスの管理者は、これらのフローが機密コードベースと内部ワークフローを深刻な侵害にさらすため、これらの更新を直ちに適用する必要があります。
このパッチサイクルで最も懸念される脆弱性は、4つの高度な重大度のXSSバグであり、それぞれCVSSスコア8.7の重大な評価を持っています。
これらの欠陥は、分析ダッシュボード、グローバル検索機能、Duoエージェント出力レンダリングを含む、頻繁に使用されるGitLab機能全体での不適切な入力サニタイゼーションから生じています。
悪用された場合、標準的なアクセス許可を持つ認証済み攻撃者は、他のユーザーのブラウザで任意のJavaScriptを実行できる可能性があります。
悪意のあるインサイダーまたは侵害された開発者アカウントは、これを使用して、即座のセキュリティアラームをトリガーせずに、アクティブなセッションを静かに乗っ取ったり、認証トークンを盗んだり、リポジトリを操作したりできます。
スクリプト注入の他に、GitLabは認証なしで悪用される可能性のある3つの深刻なDoS脆弱性(CVSS 7.5)に対応しました。CI/CDジョブ更新API、DuoワークフローAPI、または内部APIエンドポイントに特別に作成されたリクエストまたは不正形式のJSONペイロードを送信することで、攻撃者は大規模なサーバリソース消費をトリガーできます。
これにより、外部の脅威アクターが遠くから開発サーバを意図的にクラッシュさせ、会社のソフトウェア配信パイプラインを停止し、コストのかかる運用ダウンタイムを引き起こす可能性があります。
パッチはまた、多くの中度の深刻度のアクセス制御と認可フローを修復しています。特に、GraphQL(CVE-2026-1322)の不適切な認可問題により、制限されたトークンスコープを持つユーザーが非公開プロジェクトで問題を作成およびコメントできました。
その他の修正された問題には、JiraConnect購読のCSRF脆弱性、NuGetシンボルサーバーの非公開デバッグシンボルへの不正アクセス、および標準開発者がパッケージ保護ルールをバイパスする機能が含まれます。
| CVE ID | タイプ / 短いタイトル | 影響を受けた製品 / 領域 | 重大度 |
|---|---|---|---|
| CVE-2026-7481 | 分析ダッシュボードチャートレンダリングのXSS | GitLab EE分析ダッシュボードチャート | 高 |
| CVE-2026-5297 | グローバル検索のXSS | GitLab CE/EEグローバル検索 | 高 |
| CVE-2026-6073 | Duoエージェント出力レンダリングのXSS | GitLab EE Duoエージェント出力 | 高 |
| CVE-2026-7377 | カスタマイズ可能な分析ダッシュボードのXSS | GitLab EE分析ダッシュボード | 高 |
| CVE-2026-1659 | CI/CDジョブ更新APIのDoS | GitLab CE/EE CI/CDジョブ更新API | 高 |
| CVE-2025-14870 | DuoワークフローAPIのDoS | GitLab CE/EE DuoワークフローAPI | 高 |
| CVE-2025-14869 | 内部APIエンドポイントのDoS | GitLab CE/EE内部API | 高 |
| CVE-2026-1322 | GraphQLトークンスコープ強制での不適切な認可 | GitLab CE/EE GraphQL (read_api OAuth) | 中 |
| CVE-2026-1184 | インサイト構成のDoS | GitLab EEインサイト構成 | 中 |
| CVE-2026-4524 | Issues APIのアクセス制御の問題 | GitLab CE/EE Issues API(機密問題) | 中 |
| CVE-2026-8280 | ダイレクト転送CSVパーサーのDoS | GitLab CE/EEダイレクト転送CSVパーサー | 中 |
| CVE-2026-4527 | JiraConnect購読のCSRF | GitLab CE/EE JiraConnect | 中 |
| CVE-2026-3160 | Jira統合での混乱した代理者 | GitLab CE/EE Jira統合 | 中 |
| CVE-2026-6335 | BanzaiマークダウンサニタイザーのXSS | GitLab CE/EEマークダウンサニタイザー | 中 |
| CVE-2025-12669 | 達成メール通知のXSS | GitLab CE/EEメール通知 | 中 |
| CVE-2026-3607 | Helmパッケージアップロードのアクセス制御 | GitLab CE/EE Helmパッケージアップロード | 中 |
| CVE-2026-3074 | NuGetシンボルサーバーでの不適切なアクセス制御 | GitLab CE/EE NuGetシンボルサーバー | 中 |
| CVE-2026-1338 | コンテナレジストリ保護タグでの不適切なアクセス制御 | GitLab CE/EEコンテナレジストリ | 中 |
| CVE-2026-8144 | グループユーザー検索での認可不足 | GitLab CE/EEグループユーザー検索 | 中 |
| CVE-2026-6063 | コード所有者承認ルールでの不適切なアクセス制御 | GitLab EEコード所有者承認 | 中 |
| CVE-2026-3073 | PyPIパッケージ保護ルールのアクセス制御 | GitLab CE/EE PyPIパッケージルール | 中 |
| CVE-2025-13874 | 問題リンクAPIでの不適切なアクセス制御 | GitLab CE/EE問題リンクAPI | 中 |
| CVE-2026-7471 | 仮想レジストリリダイレクトハンドラーのSSRF | GitLab EE仮想レジストリ | 低 |
| CVE-2026-2900 | GraphQL承認ルール変更のアクセス制御 | GitLab EE承認ルールGraphQL | 低 |
| CVE-2026-6883 | セキュリティポリシープロジェクト再割り当てでの認可不足 | GitLab EEセキュリティポリシー再割り当て | 低 |
GitLab.comのユーザーは既に保護されています。クラウドプラットフォームは現在、パッチされたバージョンを実行しているためです。ただし、GitLab CEおよびEEの自己管理デプロイメントに依存する組織は、引き続き露出しています。
システム管理者は、これらの重大な攻撃ベクトルに対してその開発インフラストラクチャを保護するために、すぐにインスタンスをバージョン18.11.3、18.10.6、または18.9.7にアップグレードする必要があります。
翻訳元: https://gbhackers.com/gitlab-security-flaw-allows-cross-site-scripting/
