GitLab、Duo AI・DoS・認証認可に関する複数の脆弱性にパッチ適用

GitLabは、GitLab CEおよびEEに影響する7件のセキュリティ問題を修正するパッチバージョン19.0.1、18.11.4、18.10.7をリリースしました。対象はDuo AIワークフロー実行環境のアクセス制御、Wikiのサービス拒否（DoS）脆弱性、そしてGraphQL・Duo Workflows・Operations・Pipelines・認証エンドポイントにまたがる複数の認可バグです。

同社によれば、セルフマネージド環境では直ちにアップグレードが必要です。一方、GitLab.comはすでにパッチ適用済みであり、GitLab Dedicatedのユーザーは対応不要とのことです。

今回のリリースが重要なのは、これらの脆弱性が新旧双方のサポート対象ブランチに影響しており、一部の問題ではプライベートプロジェクトのデータが漏洩したり、低権限ユーザーがアクセス制御を回避したりする可能性があるためです。

GitLabはこれらのパッチリリースについて、新たなマイグレーションを含まず、マルチノード構成においてもダウンタイムは不要と説明しています。

GitLabが複数の脆弱性にパッチ適用

最も深刻な問題はCVE-2026-4868で、GitLab EEに影響しCVSSスコアは8.2です。ユーザーIDの解決処理に不備があるため、認証済みユーザーが別ユーザーのIDでDuo AIワークフローをトリガーできる可能性があります。

残りの問題は中程度の深刻度ですが、不正なデータ漏洩、権限バイパス、またはサービス停止に関わるものがあり、運用上も無視できないものがいくつかあります。

セキュリティチームは、影響を受けるセルフマネージドのGitLabインスタンスを19.0.1、18.11.4、または18.10.7へできるだけ早くアップグレードすることを優先してください。今回の脆弱性はID管理・認可チェック・サービス可用性にまたがっているため、パッチ適用後はアクセスログ、特権ワークフローの使用状況、Wikiや継続的インテグレーション（CI）における不審な動作についても確認することを推奨します。

Duo AIやDuo Workflowsを利用している環境では、開発者や自動化システムが使用する機能に影響するため、今回の認可修正には特に注意が必要です。

GitLabによれば、これらのパッチは2026年5月27日にリリースされており、今後も毎月第2・第4水曜日に定期パッチリリースが予定されています。

実務的な観点からは、今回のリリースはAI機能・API・CIパイプライン・アクセス制御層にまたがるリスクが、成熟したDevOpsプラットフォームであっても同時に蓄積しうることを改めて示すものです。