GitLabは、コミュニティエディション(CE)とエンタープライズエディション(EE)全体で11の脆弱性に対処する緊急セキュリティパッチをリリースしました。これには、攻撃者がマルウェアコードを実行し、リクエストを偽造し、ユーザーセッショントークンを盗むことができる3つの高度な深刻度の欠陥が含まれています。
2026年4月22日、GitLabはCEおよびEE展開の両方のバージョン18.11.1、18.10.4、および18.9.6をリリースしました。
GitLab.comはすでに自動的に更新されており、GitLab Dedicatedの顧客は何もする必要がありません。ただし、すべての自己管理型GitLab展開は、直ちにアップグレードすることを強くお勧めします。
高度な深刻度の脆弱性
3つの重大リスク欠陥は直ちに対処が必要です:
- CVE-2026-4922(CVSS 8.1) – GraphQL APIのクロスサイトリクエストフォージェリ(CSRF)欠陥により、認証されていない攻撃者が認証済みユーザーに代わってGraphQLミューテーションを実行でき、事実上彼らのセッションアクションをハイジャックできます。これは17.0から18.9.6以前のすべてのGitLabバージョンに影響します。
- CVE-2026-5816(CVSS 8.0) – Web IDEアセットの不適切なパス検証バグにより、認証されていないユーザーが被害者のブラウザセッション内で任意のJavaScriptを実行でき、完全なセッションハイジャックが可能になります。18.10から18.10.4以前のバージョンに影響します。
- CVE-2026-5262(CVSS 8.0) – Storybookの開発環境のクロスサイトスクリプティング(XSS)欠陥により、不適切な入力検証を通じて認証トークンが認証されていないユーザーに公開される可能性があります。16.1以降のバージョンに影響します。
| CVE ID | タイプ | 重度 | CVSSスコア | 影響を受けるバージョン |
|---|---|---|---|---|
| CVE-2026-4922 | CSRF – GraphQL API | 高 | 8.1 | 17.0 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-5816 | パス同等性 – Web IDE | 高 | 8.0 | 18.10 → 18.10.4 / 18.11.1 |
| CVE-2026-5262 | XSS – Storybook | 高 | 8.0 | 16.1 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2025-0186 | DoS – 討論エンドポイント | 中 | 6.5 | 10.6 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-1660 | DoS – Jiraインポート | 中 | 6.5 | 12.3 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2025-6016 | DoS – ノートエンドポイント | 中 | 6.5 | 9.2 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2025-3922 | DoS – GraphQL API | 中 | 6.5 | 12.4 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-6515 | セッション有効期限 – 仮想レジストリ | 中 | 5.4 | 18.2 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-5377 | アクセス制御 – 問題レンダラー | 中 | 4.3 | 18.11 → 18.11.1 |
| CVE-2026-3254 | UI制限 – Mermaidサンドボックス | 低 | 3.5 | 18.11 → 18.11.1 |
| CVE-2025-9957 | アクセス制御 – フォークAPI | 低 | 2.7 | 11.2 → 18.9.6 / 18.10.4 / 18.11.1 |
4つの中程度の深刻度のサービス拒否(DoS)欠陥もパッチされました。CVE-2025-0186、CVE-2025-6016、およびCVE-2025-3922はすべてCVSSスコア6.5を持ち、認証済みユーザーが討論エンドポイント、ノートエンドポイント、およびGraphQL APIへの工作されたリクエストを通じてサーバーリソースを枯渇させるために悪用される可能性があります。
CVE-2026-1660は同様に、認証済みユーザーが不適切な入力検証を通じてJiraの課題インポート中にDoSをトリガーできるようになります。
DoS以外にも、GitLabは中程度の深刻度の不十分なセッション有効期限のバグ(CVE-2026-6515、CVSS 5.4)をパッチしました。ここでは、無効化されたまたは不正にスコープされた認証情報がVirtual Registriesへのアクセスにまだ使用できる可能性があり、GitLabチームメンバーのDavid Fernandezによって社内で発見されました。
2つの追加のアクセス制御欠陥(CVE-2026-5377およびCVE-2025-9957)により、認証済みユーザーが機密の課題タイトルを表示し、グループのフォーク防止ポリシーをバイパスできました。
GitLabは、すべての自己管理型管理者が遅滞なく、パッチされたバージョンの1つ、18.11.1、18.10.4、または18.9.6にアップグレードすることを強くお勧めします。
ほとんどの脆弱性は、ahacker1、joaxcar、pwinieを含む研究者によってGitLabのHackerOneバグバウンティプログラムを通じて責任を持って開示されました。各欠陥のセキュリティアドバイザリは、パッチリリース日から30日後にGitLabの問題トラッカーで公開されます。
翻訳元: https://gbhackers.com/gitlab-fixes-flaws/
