GitLab Fixes Flaws That Could Allow Attackers to Hijack User Sessions
2026/04/23 gbhackers — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する 11 件の脆弱性に対処する緊急セキュリティ・パッチである。このアドバイザリに含まれるのは、悪意のコード実行/リクエスト偽造/ユーザー・セッション・トークン窃取を可能とする 3 件の深刻な脆弱性である。
2026年4月22日、GitLab は CE および EE 向けにバージョン 18.11.1/18.10.4/18.9.6 をリリースした。セルフ・マネージド環境を運用する組織に強く推奨されるのは、速やかなアップグレードである。その一方で、すでに GitLab.com は自動更新されており、GitLab Dedicated 利用者は対応不要である。
高深刻度の脆弱性
以下 3 件の脆弱性は即時対応が必要である:
- CVE-2026-4922 (CVSS 8.1):GraphQL API におけるクロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性である。未認証の攻撃者が、認証済みユーザーの代わりに GraphQL ミューテーションを実行することで、セッションの乗っ取りが可能となる。この脆弱性は、バージョン 17.0 〜18.9.6 未満/18.10.4 未満/18.11.1 未満の各環境に影響する。
- CVE-2026-5816 (CVSS 8.0):Web IDE アセットにおけるパス検証の不備を悪用する未認証ユーザーにより、被害者のブラウザ・セッション内で任意の JavaScript を実行可能となり、完全なセッション乗っ取りにつながる。この脆弱性は、バージョン 18.10.4 未満/18.11.1 未満に影響する。
- CVE-2026-5262 (CVSS 8.0):Storybook 開発環境におけるクロスサイト・スクリプティング (XSS) の脆弱性であり、入力検証不備により認証トークンが未認証ユーザーへ露出する可能性がある。この脆弱性は、16.1〜18.9.6 未満/18.10.4 未満/18.11.1 未満に影響する。
| CVE ID | Type | Severity | CVSS Score | Affected Versions |
|---|---|---|---|---|
| CVE-2026-4922 | CSRF – GraphQL API | High | 8.1 | 17.0 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-5816 | Path Equivalence – Web IDE | High | 8.0 | 18.10 → 18.10.4 / 18.11.1 |
| CVE-2026-5262 | XSS – Storybook | High | 8.0 | 16.1 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2025-0186 | DoS – Discussions Endpoint | Medium | 6.5 | 10.6 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-1660 | DoS – Jira Import | Medium | 6.5 | 12.3 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2025-6016 | DoS – Notes Endpoint | Medium | 6.5 | 9.2 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2025-3922 | DoS – GraphQL API | Medium | 6.5 | 12.4 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-6515 | Session Expiration – Virtual Registry | Medium | 5.4 | 18.2 → 18.9.6 / 18.10.4 / 18.11.1 |
| CVE-2026-5377 | Access Control – Issue Renderer | Medium | 4.3 | 18.11 → 18.11.1 |
| CVE-2026-3254 | UI Restriction – Mermaid Sandbox | Low | 3.5 | 18.11 → 18.11.1 |
| CVE-2025-9957 | Access Control – Fork API | Low | 2.7 | 11.2 → 18.9.6 / 18.10.4 / 18.11.1 |
中深刻度 の DoS 脆弱性
深刻度 Medium の、4 件のサービス拒否 (DoS) 脆弱性も修正されている。それらの脆弱性 CVE-2025-0186/CVE-2025-6016/CVE-2025-3922 (CVSS 6.5) を悪用する認証済みの攻撃者は、細工されたリクエストを用いることで Discussions エンドポイント/Notes エンドポイント/GraphQL API に対してサーバ・リソース枯渇を引き起こすことが可能になる。また、脆弱性 CVE-2026-1660 は入力検証の不備に起因し、Jira issue インポート処理中に DoS を誘発する可能性がある。
その他の脆弱性
GitLab は、Virtual Registry における、セッション有効期限不備の脆弱性 CVE-2026-6515 (CVSS 5.4) も修正した。この不備により、無効化された認証情報や、不適切なスコープの認証情報が、依然として利用可能な状況にある。この問題は、GitLab チーム・メンバーの David Fernandez により発見された。
さらに、アクセス制御不備 CVE-2026-5377/CVE-2025-9957 を悪用する認証済みの攻撃者は、機密情報が含まれる issue タイトルの閲覧や、グループ fork 制限の回避が可能となる。
対応策
すべてのセルフ・マネージド環境の管理者に対して GitLab が強く推奨するのは、18.11.1/18.10.4/18.9.6 のいずれかへの速やかなアップグレードである。これらの脆弱性の大半は、GitLab のバグ・バウンティ・プログラムを通じて、ahacker1/joaxcar/pwnie の研究者たちにより、責任ある形で開示されたものである。それぞれの脆弱性に関するセキュリティ・アドバイザリは、パッチ公開から 30 日後に、GitLab issue トラッカー上で公開される予定である。
訳者後書:今回の脆弱性は、主にシステムの入力検証の不備や、パスの確認不足が原因で発生しています。たとえば CVE-2026-5816 や CVE-2026-5262 では、外部からの入力を正しくチェックできなかったことで、悪意のプログラム実行や情報の露出を招いてしまいました。また CVE-2026-4922 のような API の制御不備や、CVE-2026-6515 のような認証情報の管理ミスも深刻なリスクにつながります。これらは小さなミスに見えますが、攻撃者に悪用されるとシステム全体の権限を奪われる恐れがあります。ご利用のチームは、ご注意ください。よろしければ、GitLab での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.