GitLabは、Community Edition(CE)およびEnterprise Edition(EE)に存在する8件の脆弱性に対処する重要なセキュリティアップデートをリリースしました。管理者は、バージョン19.1.2、19.0.4、または18.11.7への即時アップグレードを強く推奨されています。
2026年7月8日に実施されたこのパッチ配布には、wikiレンダリング、リポジトリミラーリング、アクセス制御、コンプライアンス管理といったコア機能に影響する高・中・低の各深刻度の脆弱性への修正が含まれています。GitLab.comではすでにパッチ適用済みバージョンが稼働していますが、自己管理型(self-managed)環境は、アップデートを行わない限りリスクにさらされたままとなります。
GitLab、8件の脆弱性を修正
最も深刻な問題の一つが、CVE-2026-6896(CVSSスコア8.7)です。これはGitLab EEの脆弱性エビデンステーブルレンダラーに影響するクロスサイトスクリプティング(XSS)の脆弱性で、入力のサニタイズが不十分なことが原因です。開発者レベルのアクセス権を持つ認証済みユーザーが、他のユーザーのブラウザセッションに悪意のあるスクリプトを注入できてしまいます。
もう一つの重要な問題であるCVE-2026-13320(CVSSスコア7.3)は、CEとEEの両方に影響するwikiマークアップレンダリングにおけるHTMLインジェクションの脆弱性です。高い権限を持つ攻撃者が、細工したコンテンツを通じて任意のスクリプトを実行できる可能性があります。
GitLabはまた、複数の中程度の深刻度を持つ脆弱性も修正しています。これらは機密データの漏えいやアクセス制限の回避につながるおそれがあるものです。CVE-2026-11827(CVSSスコア4.9)はGitLab EEのリポジトリミラーリングに影響する問題で、認証情報の保護が不十分なため、メンテナーレベルのユーザーが他のユーザーの保存済み認証情報を取得できる可能性があります。
CVE-2026-8472(CVSSスコア4.3)は作業アイテム(work items)におけるアクセス制御の不備に関するもので、権限の低いユーザーが非公開プロジェクトのメタデータにアクセスできてしまう可能性があります。さらに、CVE-2026-7492(CVSSスコア4.3)はCEとEEの両方に影響し、認可チェックの欠如により、権限のないユーザーがコミットディスカッションの表示を通じて非公開プロジェクトの存在を推測できる可能性があります。
加えて、GitLabは特定の状況下で依然としてセキュリティリスクをもたらす3件の低深刻度の脆弱性にも対処しています。CVE-2025-12506(CVSSスコア3.5)は、ブランチまたはタグの取り扱いにおける曖昧さに関するもので、表示されるリポジトリの内容とダウンロードされる内容との間に食い違いが生じ、ユーザーを誤解させる可能性があります。
CVE-2026-13151(CVSSスコア2.7)はGitLab EEのグループレベルの設定に影響し、認証済みユーザーが本来意図された権限を超えて設定を変更できてしまう可能性があります。CVE-2026-6352(CVSSスコア2.7)はコンプライアンス違反管理に影響するもので、GraphQL操作における認可の不備により、監査担当者(auditor)レベルのユーザーがコンプライアンス記録を変更できる可能性があります。
これらの脆弱性は、CVE-2026-13151を除き、いずれもGitLabのHackerOneバグバウンティプログラムを通じて責任ある形で報告されたものです。CVE-2026-13151については社内で発見されました。
影響範囲は、場合によっては早くもGitLab 9.1にまでさかのぼるものもあり、これは特に長期間運用されている自己管理型環境において、迅速なパッチ適用の重要性を浮き彫りにしています。
今回のパッチリリースには、セキュリティ修正に加えて、Go 1.25.11へのアップデート、OAuthアプリケーション処理の改善、CI/CDパイプラインの安定性向上、さらにメモリリークやレジストリの問題に対処するパフォーマンス改善など、バグ修正や機能強化も含まれています。
ただし、GitLabはこのアップデートにデータベースマイグレーションが伴うため、シングルノード構成ではダウンタイムが発生する可能性があると警告しています。一方、マルチノード環境では、ベストプラクティスに従うことでほぼゼロダウンタイムでのアップグレードが可能です。
GitLabは月2回のスケジュールに沿ったパッチサイクルを継続していますが、今回のような重要なセキュリティアップデートには即座の対応が必要であると強調しています。
影響を受けるバージョンを運用している組織は、悪用のリスクを軽減するため、遅滞なくアップグレードを行うことを強く推奨されます。特に、実際の攻撃で悪用されかねないXSS、認証情報の漏えい、アクセス制御の不備に関連する脆弱性については注意が必要です。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/gitlab-patches-8-vulnerabilities-affecting-ce-and-ee-installations/