GitLabは2026年7月8日、バージョン19.1.2、19.0.4、18.11.7をリリースし、Community Edition(CE)とEnterprise Edition(EE)の両方に存在する高から低までの深刻度を持つ8件の脆弱性を修正しました。
同社は自己管理型(self-managed)インストールを利用しているすべてのユーザーに対し、直ちにアップグレードするよう強く呼びかけています。一方、GitLab.comおよびGitLab Dedicatedの利用者は、すでに修正が適用済みであるため対応の必要はありません。
最も深刻な修正はCVE-2026-6896として追跡されているもので、GitLab EEの脆弱性証跡テーブル(vulnerability evidence table)レンダラーに存在するクロスサイトスクリプティングの欠陥に対処するものです。
認証済みのdeveloperレベルのユーザーが、不適切な入力サニタイズを悪用することで、別のユーザーのブラウザセッション内で任意のスクリプトを実行できる可能性があり、CVSSスコアは8.7となっています。
2件目の高深刻度の問題であるCVE-2026-13320は、CEとEEの両方に影響するwikiマークアップのレンダリングにおけるHTMLインジェクションに関するものです。この脆弱性は評価値7.3で、同様にサニタイズ不足に起因し、認証済みユーザーが別セッションのブラウザ上でスクリプトを実行できる可能性があります。
注目すべき修正として、さらに3件の中深刻度の脆弱性が挙げられます。CVE-2026-11827(CVSS 4.9)は、認可制御の不備により、リポジトリのミラーリング中に保存された認証情報がmaintainerレベルのユーザーに露出する問題でした。
CVE-2026-8472(CVSS 4.3)は、認可チェックの欠如により、最小限のアクセス権しか持たないユーザーでも非公開のEEプロジェクトにおけるワークアイテムのメタデータを読み取れてしまう問題です。CVE-2026-7492(CVSS 4.3)は、CE/EEにおいて未認証のユーザーがコミットのディスカッションページを通じて非公開プロジェクトの存在を検知できてしまう問題でした。
このほか、4件の低深刻度の問題も修正されました。これにはGitの参照が曖昧になるバグ(CVE-2025-12506)、EEのグループ設定とコンプライアンス違反管理における2件の不適切な認可の欠陥(CVE-2026-13151およびCVE-2026-6352)が含まれ、それぞれのCVSSは2.7以下となっています。
影響を受けるバージョンの範囲はCVEごとに異なりますが、最も古いものではGitLab 9.1(コミットディスカッションの問題)から19.1系列のパッチ適用前バージョンまで広範囲に及びます。
これらの脆弱性の多くは、GitLabのHackerOneバグバウンティプログラムを通じて外部の研究者から報告されたものですが、グループレベルの設定に関する欠陥についてはGitLabの社内チームメンバーが発見しました。
GitLabによると、今回のリリースには数多くのバグ修正も含まれています。具体的には、OAuthアプリケーションの組織ID処理、Goランタイムのバージョン1.25.11へのアップデート、マルチアーキテクチャのコンテナレジストリタグに関する修正、CI分析向けのClickHouse互換性、マージリクエストの承認ルールのオーバーライドに関する修正などです。
管理者は、今回のパッチにデータベースマイグレーションが含まれている点に注意する必要があります。GitLabの再起動前にマイグレーションを完了させる必要があるため、単一ノード構成のインスタンスではアップグレード中にダウンタイムが発生します。
バージョン19.1.2および19.0.4には、アップグレード完了後に実行されるポストデプロイマイグレーションも含まれています。
GitLabは、作業を進める前に公式のアップデートガイドを確認するよう推奨するとともに、標準の開示ポリシーに従い、セキュリティ問題の詳細はパッチリリースから90日後に同社のイシュートラッカー上で一般公開される旨を改めて説明しています。
翻訳元: https://cyberpress.org/gitlab-patch-release/