GitLab은 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)의 보안 취약점과 버그를 해결하기 위해 최신 패치 버전인 18.10.3, 18.9.5, 18.8.9를 출시했습니다. 이번 업데이트에는 인증된 사용자가 서버 측 메서드를 임의로 호출할 수 있는 고위험군 취약점을 포함하여 서비스 거부(DoS), 정보 유출, 권한 오류 등 다수의 보안 수정 사항이 포함되어 있습니다. 시스템의 안전한 운영을 위해 자체 관리형(Self-managed) GitLab 인스턴스를 운영하는 모든 관리자는 즉시 최신 버전으로 업그레이드할 것을 권고합니다.

주요 보안 취약점 수정 및 고위험 이슈

웹소켓 연결을 통한 메서드 호출(CVE-2026-5173): 부적절한 접근 제어로 인해 인증된 사용자가 의도하지 않은 서버 측 메서드를 호출할 수 있는 문제가 수정되었습니다. CVSS 점수 8.5의 고위험 취약점으로, GitLab 16.9.6 이후 모든 버전이 영향을 받습니다.
Terraform 상태 잠금 API의 DoS(CVE-2026-1092): JSON 페이로드의 입력값 검증 미흡으로 인해 인증되지 않은 사용자가 서비스 거부 공격을 유발할 수 있는 결함이 해결되었습니다.
GraphQL 및 CSV 임포트 DoS: 인증되지 않은 사용자가 반복적인 GraphQL 쿼리를 보내거나(CVE-2025-12664), 인증된 사용자가 구조가 잘못된 CSV 파일을 임포트하여 Sidekiq 워커를 중단시킬 수 있는(CVE-2026-1403) 취약점들이 수정되었습니다.

데이터 보호 및 권한 제어 개선

정보 유출 방지: 특정 GraphQL 쿼리를 통해 타인의 이메일 주소가 노출되는 문제(CVE-2025-9484)와 CSV 내보내기 시 타인에게 할당된 기밀 이슈에 접근할 수 있는 권한 확인 미흡 문제를 해결했습니다.
분석 대시보드 XSS(CVE-2026-4332): 사용자 정의 가능한 분석 대시보드에서 입력값 정화(Sanitization)가 제대로 이루어지지 않아 타인의 브라우저에서 임의의 JavaScript를 실행할 수 있는 교차 사이트 스크립팅 취약점이 보완되었습니다.
코드 품질 리포트 코드 주입(CVE-2026-1516): 특수하게 제작된 리포트 콘텐츠를 통해 이를 열람하는 사용자의 IP 주소를 유출할 수 있는 보안 허점이 수정되었습니다.

API 및 환경 설정 보안 강화

Environments API 권한 오류(CVE-2026-1752): 개발자 권한을 가진 사용자가 API를 통해 보호된 환경 설정을 부적절하게 수정할 수 있는 권한 검증 로직을 강화했습니다.
AI 탐지 API 및 SBOM API 안정성: 취약점 플래그 AI 탐지 API의 권한 오류와 GraphQL SBOM API의 입력값 검증 미흡으로 인한 시스템 불안정 요소를 모두 제거했습니다.

GitLab 설치 유형(Omnibus, Source code, Helm chart 등)에 관계없이 해당 버전을 사용하는 모든 환경이 영향 범위에 포함됩니다. GitLab.com은 이미 패치가 완료되었으나, 자체 서버를 운영 중인 고객은 보안 유지를 위해 지원되는 최신 패치 릴리스로 즉시 업그레이드해야 합니다. 각 취약점에 대한 상세한 이슈 내용은 보안 정책에 따라 릴리스 30일 후에 공개될 예정입니다.