2026年4月22日、GitLabはコミュニティエディション(CE)およびエンタープライズエディション(EE)向けセキュリティパッチバージョン18.11.1、18.10.4、18.9.6をリリースし、ユーザーセッションのハイジャック、トークン盗聴、GitLabインスタンスの障害を引き起こす可能性のある複数の脆弱性に対応しました。
最も重要な修正は、現実的な攻撃シナリオの下でセッションハイジャックとトークン悪用を可能にする3つの高重大度の脆弱性です:
これら3つの問題は、特にインターネット公開のGitLabインスタンスで、修正されないままであれば、アカウント侵害、プロジェクト改ざん、不正アクセスのリスクが著しく高まります。
4月のパッチはまた、可用性とデータ公開に影響を与える複数の中~低重大度の修正も配信します:
これらは中~低重大度と評価されていますが、侵害による被害範囲を拡大し、攻撃者が継続的なアクセス、データ発見、またはシステム中断を実行するのに役立つ可能性があります。
3つのパッチトレイン(18.11.1、18.10.4、18.9.6)すべてに通常のデータベースマイグレーションが含まれており、18.11.1/18.10.4はさらにデプロイ後マイグレーションも配信されるため、ダウンタイム計画に影響を与える可能性があります。
セキュリティ修正に加えて、これらのリリースは検索インデックス(Zoekt)、PostgreSQLアップデート、Geo改善、およびCI信頼性に関する通常のバグ修正をもたらし、安定性とパフォーマンスをより一層強固にします。
アクティブなセキュリティベンダーがすでにCVE-2026-4922および関連のバグを検出フィードでフラグ付けしているため、GitLab管理者はこれらの問題がスキャンおよびエクスプロイトツールチェーンに迅速に統合されることを想定し、それに応じてパッチ適用を優先する必要があります。
翻訳元: https://cyberpress.org/gitlab-security-update-patches-multiple-vulnerabilities/