GitLab の脆弱性 CVE-2026-5173 などが FIX:コード・インジェクションと DoS 攻撃の恐れ

GitLab Patches Multiple Vulnerabilities That Enables DoS and Code Injection Attacks

2026/04/09 CyberSecurityNews — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) 向けの、緊急のセキュリティ更新 18.10.3/18.9.5/18.8.9 である。これらのアップデートは、Denial-of-Service (DoS) およびコード・インジェクション攻撃を可能とする、高深刻度の脆弱性に対応するものだ。セルフマネージド環境の管理者に対して GitLab が強く推奨するのは、速やかなアップデートによる、インスタンスの保護である。

高深刻度の脆弱性

このリリースでは、GitLab 環境に重大な影響を及ぼす 3 件の深刻度 High のバグが修正されている。

  • CVE-2026-5173 (CVSS 8.5):認証済みの攻撃者に対して、WebSocket 接続を通じたサーバサイド・コマンドの実行を許す脆弱性。原因は、アクセス制御の不備にある。
  • CVE-2026-1092 (CVSS 7.5):Terraform state lock API に不正な JSON データを送信する未認証ユーザーにより、DoS 攻撃が引き起こされる脆弱性。
  • CVE-2025-12664 (CVSS 7.5):アカウントを持たない攻撃者に対して、GraphQL クエリの大量送信による DoS 攻撃を許す脆弱性。
中深刻度の脆弱性

加えて、ユーザーの安全性とシステムの安定性に影響を及ぼす、複数の Medium レベルの脆弱性も修正された。

  • CVE-2026-1516 (CVSS 5.7):認証済みユーザーに対して、Code Quality レポートへの悪意のコード注入を許す脆弱性である。その結果として、閲覧者の IP アドレスが漏洩する。
  • CVE-2026-1403 (CVSS 6.5):CSV ファイルの検証不備の脆弱性であり、インポート時に Sidekiq ワーカーがクラッシュする。
  • CVE-2026-4332 (CVSS 5.4):分析ダッシュボードにおける入力フィルタの不備により、ブラウザ上での JavaScript 実行を許す脆弱性。
  • CVE-2026-1101 (CVSS 6.5):GraphQL クエリにおける入力検証の不備により、認証済みユーザーのインスタンス全体を DoS 状態に陥れる脆弱性。
追加セキュリティ修正

さらに、データ漏洩およびアクセス制御不備に関する脆弱性も修正された。

  • CVE-2026-2619 (CVSS 4.3):auditor 権限ユーザーによる、プライベート・プロジェクトの脆弱性フラグの変更を許す脆弱性。
  • CVE-2025-9484 (CVSS 4.3):特定の GraphQL クエリにより、他ユーザーのメールアドレスの閲覧を許す脆弱性。
  • CVE-2026-1752 (CVSS 4.3):保護環境設定の変更を開発者に対して許す、アクセス制御不備の脆弱性。
  • CVE-2026-2104 (CVSS 4.3):CSV エクスポートにおける認可の不備により、他ユーザーの機密 Issue へのアクセスを許す脆弱性。
  • CVE-2026-4916 (CVSS 2.7):カスタムロール・ユーザーに対して、上位権限ユーザーの降格/削除を許す、認可チェック欠如の脆弱性。
対応

すべてのセルフマネージド環境に対して GitLab が強く推奨するのは、18.10.3/18.9.5/18.8.9 への速やかなアップグレードである。これらの更新は、複雑なデータベース変更を伴わないため、マルチノード環境でもダウンタイムなしで適用可能である。

なお、GitLab.com および GitLab Dedicated を利用しているユーザーについては、すでにクラウド側でパッチが適用されているため、影響は生じない。

訳者後書:今回の緊急アップデートの背景にあるのは、GitLab の内部システムにおけるアクセス制御の不備や、外部からの入力データに対する検証の甘さです。最も深刻な CVE-2026-5173 は、WebSocket 通信の不適切な制御に起因し、認証済みのユーザーに対してサーバ上での不正なコマンド実行を許すものです。また、不正な JSON データや大量のクエリによりシステムを停止させる DoS 攻撃の脆弱性 CVE-2026-1092/CVE-2025-12664 も、入力に対するチェック不足の問題です。ご利用のチームは、ご注意ください。よろしければ、GitLab での検索結果も、ご参照ください。