GitLabは、攻撃者が開発者セッションを静かに乗っ取ったり、CI/CDパイプライン全体を停止させたりする可能性のある危険な脆弱性群を発見した後、緊急セキュリティアップデートをリリースしました。
2026年5月13日に開示されたこれらの脆弱性は、Community Edition (CE)とEnterprise Edition (EE)の両方に影響を与え、自社運用インスタンスを実行している組織に対して緊急警告を促します。
同社はパッチ適用済みバージョン18.11.3、18.10.6、18.9.7をリリースし、クロスサイトスクリプティング(XSS)、サービス妨害(DoS)、およびアクセス制御の問題を含む25の脆弱性に対処しました。
GitLab.comは既に保護されていますが、パッチが適用されていないオンプレミス環境は依然として悪用されるリスクが高い状態です。
最も重大な問題の中には、それぞれCVSSスコア8.7を持つ4つの高深刻度XSS脆弱性があります。
これらの欠陥は、分析ダッシュボード、グローバル検索、Duoエージェント出力レンダリングなど、広く使用されているコンポーネントの不適切な入力サニタイゼーションから生じています。
標準認証アクセス権を持つ攻撃者は、これらの機能に悪意のあるJavaScriptを注入できます。被害者のブラウザで実行されると、ペイロードはセッショントークンを盗み、ユーザーになりすまし、検出されずにリポジトリを操作することができます。
これにより、内部の脅威や侵害された開発者アカウントが特に危険になります。
セキュリティ研究者は、このような攻撃は気付かれずに継続し、開発環境内での長期的なスパイ活動を可能にする可能性があると警告しています。
例えば、共有ダッシュボードに埋め込まれた悪意のあるスクリプトは、同じプロジェクトにアクセスする複数のエンジニアから静かに認証情報をキャプチャする可能性があります。
XSS欠陥に加えて、GitLabは認証を必要としない3つの高深刻度のDoS脆弱性(CVSS 7.5)にパッチを適用しました。
これらのバグはCI/CDジョブ更新API、DuoワークフローズAPI、および内部APIエンドポイントに影響します。
特別に細工されたリクエストまたは不正なJSONペイロードを送信することで、攻撃者はサーバーリソースを枯渇させ、GitLabサービスをリモートからクラッシュさせることができます。
これにより大規模な混乱への道が開かれ、脅威行為者が意図的にソフトウェア配信パイプラインを停止し、リリースを遅延させ、ビジネス運用に影響を与える可能性があります。
これら以外に、GitLabはGraphQLでの不適切な認可(CVE-2026-1322)、JiraConnect統合でのCSRF、および機密パッケージおよびレジストリコンポーネントへの無権限アクセスなど、複数の中程度の深刻度の問題を解決しました。
自社運用GitLab環境を使用している組織は、直ちにアップグレードすることを強くお勧めします。パッチの適用を遅延させると、開発インフラストラクチャがステルスアカウント侵害または破壊的なサービス停止に対して脆弱なままになる可能性があり、これらは両方とも重大な運用およびセキュリティリスクをもたらします。
翻訳元: https://cyberpress.org/gitlab-flaw-xss-dos/
