GitLab CE/EE の複数の脆弱性が FIX:深刻な XSS や API DoS 攻撃の問題に対処

GitLab Security Update – Patch for XSS and API DoS Vulnerabilities

2026/03/12 CyberSecurityNews — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する広範な脆弱性へ対応する緊急セキュリティ・アップデートである。新たに公開されたバージョン 18.9.2/18.8.6/18.7.6 は、深刻度 High の Cross-Site Scripting (XSS) および Denial-of-Service (DoS) 欠陥を含む、合計 15 件のセキュリティ問題を修正するものだ。

セルフ・マネージド・インスタンスを運用する管理者に強く推奨されるのは、これらのパッチを直ちに適用して、セキュリティ衛生と環境の保護を維持することである。

GitLab における脆弱性の修正

このリリースで修正された最も深刻な欠陥は、クロスサイト・スクリプティング (XSS) の脆弱性 CVE-2026-1090 (CVSS:8.7:High) である。

この欠陥は、Markdown プレースホルダー機能フラグが有効化されている場合の、GitLab の処理に存在する。

この脆弱性を悪用する認証済み攻撃者は、適切なサニタイズ検証を回避し、被害者のブラウザへ悪意ある JavaScript を注入する可能性を得る。これにより、不正操作やセッション乗っ取りなどが発生する可能性がある。

さらに GitLab は、未認証の攻撃者に対して、重要サービスの妨害を許す深刻度 High のDoS 脆弱性 3 件を修正した。

GraphQL API に存在する欠陥を突く攻撃者は、特別に細工されたリクエストを送信することで、制御不能な再帰処理とリソース枯渇を引き起こす可能性を得る。また、リポジトリ・アーカイブ・エンドポイントへ送信される悪意のリクエストも、特定条件下でサービス拒否攻撃を引き起こす可能性がある。それに加えて、防御されているブランチ API における、JSON ペイロードの不適切な検証も容易に悪用され、サービスをクラッシュさせる可能性がある。

これらの深刻度 High の脆弱性に加えて、このアップデートでは、Medium/ Low レベルのバグも複数修正されている。

注目すべき修正としては、webhook カスタム・ヘッダーにおける DoS の脆弱性 CVE-2025-13690 と、webhook エンドポイントにおける脆弱性 CVE-2025-12576 が挙げられる。

今回のパッチでは、不正な CRLF シーケンスの脆弱性 CVE-2026-3848 や、ランナー API におけるアクセス制御の脆弱性 CVE-2025-12555 も修正されている。これらの問題には、以前のパイプライン・ジョブ情報への不正アクセスを許す可能性がある。

機密情報に影響を及ぼす、情報漏洩のバグも修正された。今回のセキュリティ・アップデートでは、管理者が追跡すべき複数の CVE が修正されている。

  • CVE-2026-1090:CVSS 8.7: Markdown プレースホルダー処理における深刻度 High のクロスサイト・スクリプティング (XSS) の脆弱性。
  • CVE-2026-1069/CVE-2025-13929/ CVE-2025-14513:CVSS 7.5:GraphQL API/リポジトリアーカイブ・エンドポイント/保護されたブランチ API に影響を及ぼす DoS 脆弱性。
  • CVE-2025-13690/CVE-2025-12576:CVSS 6.5:webhook カスタムヘッダーおよび webhook エンドポイントに存在する DoS の脆弱性。

ユーザー組織にとって必要なことは、速やかなアップデートによる、継続的なサービス運用とデータ保護の確保である。すべてのセルフ・マネージド GitLab CE/EE インストールを、18.9.2/18.8.6/18.7.6 へアップデートする必要がある。

シングル・ノード・インスタンスの場合には、アップグレード中のデータベース・マイグレーション中に、短時間の停止が発生する。その一方で、マルチ・ノード・構成では、ゼロ・ダウンタイム・アップグレード手順を利用できる。

GitLab.com および GitLab Dedicated のユーザーは、すでにパッチ適用済みバージョンを使用しているため、追加の管理対応は不要である。詳細な脆弱性レポートは、このパッチ公開から 30 日後に、GitLab issue tracker で公開される予定である。

GitLab の CE/EE に存在する、15 件の脆弱性を修正する緊急セキュリティ・アップデートが公開されました。今回の脆弱性の中で深刻なものは、Markdown 処理における不適切なサニタイズや、GraphQL APIなどにおけるリソース管理の不備に起因します。最も警戒すべき脆弱性は、CVSS:8.7 と評価された CVE-2026-1090 です。Markdown プレースホルダー機能が悪用されることで、ブラウザ上で悪意ある JavaScript が実行されるクロスサイト・スクリプティング (XSS) の欠陥であり、認証済みユーザーによるセッション乗っ取りや不正操作を招く恐れがあります。また、未認証の攻撃者が重要サービスを停止させることが可能な、3件の DoS 脆弱性も修正されました。ご利用のチームは、ご注意ください。よろしければ、GitLab での検索結果も、ご参照ください。