GitLab Security Flaw Allows Cross-Site Scripting and Unauthenticated DoS
2026/05/14 gbhackers — GitLab が公開したのは、大規模な脆弱性群に対する緊急セキュリティ・アップデートである。これらの新規の脆弱性を悪用する脅威アクターは、開発者セッションの乗っ取り、未認証攻撃による CI/CD パイプラインの完全な停止などを可能にする。
GitLab セキュリティ脆弱性
2026年5月13日に GitLab は、Community Edition (CE)/Enterprise Edition (EE) 向けに重要パッチ Version 18.11.3/18.10.6/18.9.7 を公開した。今回のセキュリティ対応では、合計 25件の脆弱性が修正された。特に影響の大きい、Cross-Site Scripting (XSS) および Denial-of-Service (DoS) 攻撃に重点が置かれている。
セルフ・マネージド・インスタンスの管理者にとって必要なことは、速やかなアップデートの適用である。これらの脆弱性は、機密性の高いコードベースおよび内部ワークフローを深刻な侵害リスクにさらす。
このパッチサイクルで最も重大な問題は、4 件の高深刻度の XSS 脆弱性であり、いずれも CVSS 8.7 と評価されている。これらは、Analytics ダッシュボード/global search/Duo Agent 出力レンダリングなどの、広く使用されている機能の入力サニタイズ不備に起因する。
攻撃に成功した通常権限を持つ認証済みユーザーは、他ユーザーのブラウザで任意 JavaScript を実行できる。悪意のインサイダーや侵害された開発者アカウントは、この機能を悪用してセッション・ハイジャック/認証トークン窃取/リポジトリ操作を検知されずに実行できる。
上記のスクリプト注入に加えて、GitLab は CVSS 7.5 の未認証 DoS 脆弱性 3件も修正した。
細工されたリクエストや不正な JSON ペイロードを送信する攻撃者により、CI/CD job update API/Duo Workflows API/内部 API エンドポイントなどが標的にされ、サーバ・リソースの消費が引き起こされる。
これにより、外部の攻撃者は開発サーバを遠隔から停止させ、ソフトウェア提供パイプラインを停止させることが可能となる。
それに加えて、中程度のアクセス制御および認可不備も多数修正された。
特に、GraphQL における認可不備の脆弱性 CVE-2026-1322 が、限定的なトークン・スコープを持つユーザーに悪用されると、プライベート・プロジェクトに対する issue 作成およびコメント投稿が可能になる。
その他の修正には、以下が含まれる。
- JiraConnect サブスクリプションにおける CSRF
- NuGet Symbol Server における、機密性の高いデバッグシンボルへの不正アクセス
- 一般開発者によるパッケージ保護ルールのバイパス
主な脆弱性一覧は、以下の通りである。
その他にも、多数の Medium/Low 脆弱性が修正されている。
GitLab.com ユーザーは、すでに修正済みバージョンが稼働しているため影響を受けない。その一方で、GitLab CE/EE のセルフ・マネージド環境を運用する組織は、パッチを適用しない限り、リスクにさらされ続ける。
システム管理者にとって必要なことは、直ちに Version 18.11.3/18.10.6/18.9.7 へアップグレードして、開発インフラを保護することだ。
訳者後書:開発プラットフォーム GitLab に見つかった、大規模なセキュリティ脆弱性に対する緊急アップデートについて解説する記事です。問題の原因は、ダッシュボードや検索機能における入力値のサニタイズ (無害化) 不備や、API 処理時のリソース管理の不足、認可チェックの甘さにあります。特に高深刻度と評価された、XSS の脆弱性 CVE-2026-7481/CVE-2026-5297 などは、解析画面や検索窓への入力チェックが不十分だったことで、悪意のスクリプトを他者のブラウザで実行させ、セッションを乗っ取るリスクを生み出しています。クラウド版は対策済みですが、自社でサーバを構築して運用している環境は危険な状態が続くため、管理者は直ちに修正済みバージョンへとアップグレードし、開発基盤を保護することが不可欠です。よろしければ、GitLab での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.