GitLabは2026年5月27日、セキュリティパッチバージョン19.0.1、18.11.4、18.10.7をリリースし、Community Edition(CE)およびEnterprise Edition(EE)の両方におけるDuo AIワークフローランナーの高深刻度の不適切なアクセス制御の欠陥を含む7件の脆弱性に対処しました。
最も重要な修正は、GitLab EEのDuo AIワークフローランナーにおける不適切なアクセス制御の脆弱性CVE-2026-4868(CVSS 8.2)に対処するものです。
特定の条件下では、認証済みユーザーが不適切なユーザーID解決により特定のDuo AIワークフローを別のユーザーのIDで実行させることができ、機密データの漏洩や不正操作が可能になる恐れがありました。
この欠陥は、GitLab EEのバージョン18.8〜18.10.7、18.11〜18.11.4、19.0〜19.0.1のすべてに影響します。セキュリティ研究者のahacker1氏がGitLabのHackerOneバグバウンティプログラムを通じて責任ある開示を行いました。
高深刻度のAI欠陥に加え、6件の中深刻度の脆弱性もパッチが適用されました。
バージョン17.1以降のCE/EEに影響するWikiベースのサービス拒否(DoS)バグであるCVE-2026-1402は、2番目に高いCVSSスコア6.5を持ちます。
一方、CVE-2026-6713は、未認証ユーザーがGraphQL WorkItem APIを介してプライベートプロジェクトを列挙できたため、特に注目されます。これは重大な情報漏洩リスクです。
2件の脆弱性はGitLabのAI搭載Duo Workflows機能を直接標的としています。CVE-2026-5296は、開発者レベルの権限のみを持つ認証済みユーザーが、基本フローが有効な場合にグループレベルのフロー制限を回避できるものでした。
CVE-2026-2601は、GitLab EEバージョン11.5以降に存在する欠陥で、Operationsモジュール内の機密デプロイメントデータを開発者ロールのユーザーに公開していました。
また、CVE-2026-2710では、認証エンドポイントにおける認可実施の欠陥により、失効したプロジェクトアクセストークンがプライベートリソースへのアクセスを継続できることが判明しました。
GitLabのパッチリリースには新しいデータベースマイグレーションは含まれず、マルチノード展開のゼロダウンタイムアップグレードをサポートしています。GitLab.comはすでにパッチが適用されており、GitLab Dedicatedのお客様は対応不要です。
影響を受けるバージョンを実行しているセルフマネージド管理者は、GitLab公式アップデートページから19.0.1、18.11.4、または18.10.7へのアップグレードを優先してください。
翻訳元: https://cyberpress.org/gitlab-patches-duo-ai-dos/