GitLab Patches Multiple Duo AI, DoS, and Authorisation Vulnerabilities
2026/05/29 gbhackers — GitLab は、パッチ・バージョン 19.0.1/18.11.4/18.10.7 をリリースし、GitLab CE/EE に影響する 7 件のセキュリティ問題を修正した。具体的な修正の対象は、Duo AI ワークフロー・ランナーのアクセス制御の不備および、Wiki のサービス運用妨害 (DoS)、GraphQL/Duo Workflows/Operations/Pipelines/認証エンドポイントにまたがる複数の認可不備などである。
同社は、セルフ・マネージド環境のユーザーに対して、速やかなアップグレードを推奨している。その一方で、すでに GitLab.com は修正済みであり、GitLab Dedicated の顧客に対しても追加対応は不要としている。
今回のリリースが重要な理由は、一連の脆弱性が新旧のサポート対象ブランチに影響を及ぼし、非公開プロジェクト・データの露出や、権限の低いユーザーによるアクセス制御の回避が発生する懸念があるためである。
また GitLab は、これらのパッチ・リリースにおいて、新たなマイグレーションは発生しないとしている。したがって、マルチノード環境への展開においては、ダウンタイムは生じないと説明している。
GitLab における複数の脆弱性の修正
最も深刻な問題は GitLab EE に影響を及ぼす CVE-2026-4868 であり、CVSS スコアは 8.2 と評価されている。この脆弱性は、ユーザー ID 解決処理の不備に起因しており、他のユーザーの ID を悪用する認証済みユーザーが、Duo AI ワークフローを不正に実行する可能性がある。
修正された主な脆弱性は以下の通りである。
| CVE | Issue | Impacted products | Affected versions | CVSS |
|---|---|---|---|---|
| CVE-2026-4868 | Improper Access Control in Duo AI workflow runners | GitLab EE | 18.8 before 18.10.7, 18.11 before 18.11.4, 19.0 before 19.0.1 | 8.2 |
| CVE-2026-1402 | Denial of Service in Wiki | GitLab CE/EE | 17.1 before 18.10.7, 18.11 before 18.11.4, 19.0 before 19.0.1 | 6.5 |
| CVE-2026-6713 | Incorrect Authorization in GraphQL WorkItem API | GitLab CE/EE | 18.2 before 18.10.7, 18.11 before 18.11.4, 19.0 before 19.0.1 | 5.3 |
| CVE-2026-5296 | Improper Authorization in Duo Workflows API | GitLab EE | 18.7 before 18.10.7, 18.11 before 18.11.4, 19.0 before 19.0.1 | 4.3 |
| CVE-2026-2601 | Missing Authorization in Operations | GitLab EE | 11.5 before 18.10.7, 18.11 before 18.11.4, 19.0 before 19.0.1 | 4.3 |
| CVE-2026-8716 | Incorrect Name Resolution in Pipelines | GitLab CE/EE | 12.7 before 18.10.7, 18.11 before 18.11.4, 19.0 before 19.0.1 | 4.3 |
| CVE-2026-2710 | Incorrect Authorization in authentication endpoints | GitLab CE/EE | 18.9 before 18.10.7, 18.11 before 18.11.4, 19.0 before 19.0.1 | 4.3 |
その他の問題については、深刻度は Medium とされているが、不正なデータ露出/権限バイパス/サービス停止を引き起こす可能性があるため、重要視する必要がある。
セキュリティ・チームが優先すべきは、影響を受けるセルフ・マネージド GitLab インスタンスのバージョンを、速やかに 19.0.1/18.11.4/18.10.7 へとアップグレードすることだ。
これらの脆弱性は、ID 処理/認可チェック・サービスの可用性にまたがるため、パッチ適用後はアクセス・ログ/特権ワークフローの利用状況/Wiki や CI における異常なアクティビティや動作を確認する必要がある。
特に Duo AI または Duo Workflows を利用している環境では、開発者や自動化システムの機能/運用に対して、認可関連の修正が影響を与える可能性があるため、注意が必要となる。
GitLab によると、これらのパッチは 2026年5月27日にリリースされている。今後においても、毎月第 2 水曜日および第 4 水曜日に定期的なパッチのリリースが予定されている。
訳者後書:今回のアップデートでは、ユーザーの ID 解決や認可チェックといった、システムの根幹に関わる処理の不備に対応するものです。特に CVE-2026-4868 では、本来制限されるべき他人の ID が使えてしまうなど、アクセス制御の設計上の不備が問題となっています。また、 Wiki において DoS を引き起こす CVE-2026-1402 や、 API の認可不備である CVE-2026-6713/CVE-2026-5296/CVE-2026-2601、認証エンドポイントの CVE-2026-2710、名前解決に関わる CVE-2026-8716 といった複数の脆弱性が修正されています。ご利用のチームは、ご注意ください。よろしければ、GitLab での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.