GitLabは、コミュニティエディション(CE)およびエンタープライズエディション(EE)プラットフォーム全体の複数の脆弱性を修正するための重要なセキュリティアップデートをリリースしました。
自己管理型GitLabインスタンスを利用している組織は、潜在的な悪用を防ぐため、GitLabセキュリティ専門家によってこれらの更新を直ちに適用することを強く推奨されています。
GitLab DedicatedまたはクラウドホストされたGitLab.comサービスを利用しているお客様はすでに保護されており、手動の介入は不要です。
このパッチサイクルで対処される最も重大な欠陥は、websocket接続に影響する露出したメソッド脆弱性です。
CVE-2026-5173として追跡されるこの高深刻度の弱点は、認証済みの攻撃者が適切なアクセス制御をバイパスして、意図しないサーバー側のメソッドを呼び出すことを許可する可能性があります。
バージョン18.10.3、18.9.5、および18.8.9の新しくリリースされたパッチは、12個の異なるセキュリティ欠陥に対処し、サービス拒否(DoS)攻撃と意図しないサーバー側のアクションを可能にする可能性のある高深刻度の問題を含みます。
セキュリティ研究者は、2つの重大なサービス拒否脆弱性を特定しました。Terraform state lock APIの1つの欠陥は、JSONペイロードの入力検証不十分に由来します。
同時に、別の脆弱性は、認証されていない脅威アクターがGraphQL APIに繰り返しのリソース集約的なクエリを送信してサービスを中断することを許可します。
これらの高深刻度のバグと並んで、このアップデートはデータ整合性とユーザープライバシーに影響する複数の中程度の深刻度の脆弱性を解決します。
注目すべきことに、開発者は、特別に細工されたコンテンツを表示しているユーザーのIPアドレスをリークする可能性のあるコード品質レポート機能内のコード注入欠陥を修正しました。
追加の修正は、カスタマイズ可能な分析ダッシュボードのクロスサイトスクリプティング(XSS)、CSVエクスポートの情報開示リスク、およびEnvironments API内の不適切なアクセス制御に対処しています。
堅牢なセキュリティ衛生を維持するために、管理者は現在のデプロイメントを確認し、最新のサポートされているパッチリリースにアップグレードする必要があります。
時代遅れのソフトウェアに依存すると、重要な開発インフラストラクチャが認証済みの悪意のある内部関係者と認証されていない外部の脅威の両方にさらされます。
CVE脆弱性の詳細
| CVE ID | 重大度 (CVSS) | 脆弱性の説明 | 影響を受けた製品とバージョン |
|---|---|---|---|
| CVE-2026-5173 | 高 (8.5) | websocket接続の露出したメソッドで、意図しないサーバー側の実行を許可 | CE/EE: 16.9.6 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-1092 | 高 (7.5) | 悪意のあるJSONペイロードを介したTerraform state lock APIのサービス拒否 | CE/EE: 12.10 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2025-12664 | 高 (7.5) | 繰り返されたクエリ送信を介したGraphQL APIのサービス拒否 | CE/EE: 13.0 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-1403 | 中 (6.5) | Sidekiqワーカーに影響するCSVインポートのサービス拒否 | CE/EE: 11.7 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-1101 | 中 (6.5) | 検証不十分による GraphQL SBOM APIのサービス拒否 | EE: 18.2 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-1516 | 中 (5.7) | コード品質レポートのコード注入がユーザーのIPアドレスをリーク | EE: 18.0.0 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-4332 | 中 (5.4) | カスタマイズ可能な分析ダッシュボードのクロスサイトスクリプティング(XSS) | EE: 18.2 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-2619 | 中 (4.3) | 非公開プロジェクトの脆弱性フラグデータの不正な認可による変更 | EE: 18.6 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2025-9484 | 中 (4.3) | GraphQL経由でユーザーのメールアドレスを公開する情報開示 | EE: 16.6 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-1752 | 中 (4.3) | Environments APIの不適切なアクセス制御が保護された設定を変更 | EE: 11.3 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-2104 | 中 (4.3) | CSVエクスポートの情報開示が機密の問題を公開 | CE/EE: 18.2 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
| CVE-2026-4916 | 低 (2.7) | カスタムロール権限の認可不足で降格が可能 | CE/EE: 18.2 から 18.8.9、18.9 から 18.9.5、18.10 から 18.10.3 |
翻訳元: https://gbhackers.com/gitlab-addresses-multiple-vulnerabilities/
