GitLabは2026年6月10日にセキュリティアップデートをリリースし、GitLab CE/EEおよびEEに存在する12件の脆弱性を修正しました。修正対象には、完全なアカウント乗っ取り、任意のクライアントサイドコード実行、認証不要のサービス拒否攻撃を可能にする高深刻度の欠陥が含まれています。
セルフマネージド環境の管理者は全員、GitLab 19.0.2、18.11.5、または18.10.8へ直ちにアップグレードするよう強く求められています。
今回のリリースで最も注目すべき脆弱性はCVE-2026-6552(CVSS 8.7)です。これはGroup SAML Identity APIにおけるアクセス制御の不備で、GitLab EEバージョン15.5以降に影響します。
悪用が可能な条件下では、Group Ownerロールを持つ認証済みユーザーがSAMLアイデンティティ管理ワークフローの認可の弱点を突くことで、被害者の認証情報を必要とせずに別のグループメンバーのGitLabアカウントを完全に乗っ取ることができます。
同じく危険なのがCVE-2026-10087(CVSS 8.7)で、Analytics Dashboardに存在するストアド型クロスサイトスクリプティング(XSS)の脆弱性です。
Developer権限を持つ認証済みユーザーが、不十分な入力サニタイズ処理を悪用して悪意あるクライアントサイドスクリプトを挿入し、標的ユーザーのブラウザセッション内でそれを実行させることができます。
悪用に成功した場合、セッションハイジャック、権限昇格、さらには連鎖的なアカウント乗っ取りにつながる可能性があり、複数ユーザーが利用するGitLab環境において深刻なリスクをもたらします。これら両脆弱性は、GitLabのHackerOneバグバウンティプログラムを通じて責任ある開示がなされました。
3つ目の高深刻度の問題はCVE-2026-7250(CVSS 7.5)で、Grape APIのJSONパースミドルウェアにおけるサービス拒否の脆弱性です。GitLab CE/EEのバージョン12.10以降のすべてに影響します。
特筆すべき点として、この脆弱性は認証を一切必要としません。リモートの攻撃者が細工したAPIリクエストを送信するだけでサービスをクラッシュさせることができます。
4つ目の高深刻度の脆弱性はCVE-2026-8589(CVSS 7.3)で、グループ設定フィールドにおけるHTMLインジェクションの問題です。攻撃者が被害者のアカウントに不正なメールアドレスを追加し、継続的なアカウント侵害の足がかりを築くことを可能にします。
中深刻度の脆弱性としては、CVE-2026-9204(CVSS 5.3)が挙げられます。GitalyのリポジトリインポートにおけるServer-Side Request Forgery(SSRF)の欠陥で、認証済みユーザーがGitalyサーバー上の任意のファイルを読み取ったり、内部ネットワークリソースを探索したりすることを可能にします。
CVE-2026-9694(CVSS 2.6)は低深刻度ではあるものの、未認証の攻撃者が細工したService Desk宛てのメール返信を通じて任意のコンテンツを注入し、GitLab Support Botになりすますことができます。
パッチ済みリリースのGitLab 19.0.2、18.11.5、18.10.8には、すべてのセキュリティ修正に加え、Ruby JWTの依存関係、Railsコンポーネント、Gitaly、コンテナレジストリのアップデートを含む安定性改善も組み込まれています。
管理者はこのパッチに必須のデータベースマイグレーションが含まれている点に注意が必要です。シングルノード構成の場合はアップグレード中にダウンタイムが発生しますが、マルチノード環境ではGitLabのゼロダウンタイムアップグレード手順を活用できます。なお、バージョン19.0.2と18.11.5にはデプロイ後のマイグレーションも含まれています。
セキュリティチームには遅延なくアップグレードを実施するとともに、特にSAMLアイデンティティ管理とAnalytics Dashboardのイベントを中心に、影響を受けるコンポーネントのアカウントおよびAPIアクティビティに関する不審なログを精査することをお勧めします。また、パッチ適用前にこれらの脆弱性のいずれかが悪用された疑いがある場合は、機密性の高い認証情報をローテーションしてください。
翻訳元: https://cyberpress.org/gitlab-patches-multiple-flaws/
