bug-bounty

GitLab 패치 릴리스: 18.11.1, 18.10.4, 18.9.6 | GitLab 문서 (새 탭에서 열림)

GitLab은 2026년 4월 22일, 다수의 보안 취약점과 버그를 해결하기 위해 GitLab Community Edition(CE) 및 Enterprise Edition(EE)의 패치 버전인 18.11.1, 18.10.4, 18.9.6을 출시했습니다. 이번 업데이트는 GraphQL API의 CSRF 문제와 Web IDE 내 임의 자바스크립트 실행 등 심각도가 높은 보안 결함을 포함하여 총 10건 이상의 취약점을 해결하는 것을 핵심으로 합니다. 시스템의 안전한 운영을 위해 자체 호스팅(Self-managed) 환경을 사용하는 모든 관리자는 최신 패치 버전으로 즉시 업그레이드할 것을 강력히 권고합니다. ### 고위험 보안 취약점 해결 * **CVE-2026-4922 (GraphQL API CSRF):** GraphQL API의 CSRF 보호가 불충분하여 인증되지 않은 사용자가 인증된 사용자를 대신해 뮤테이션(Mutation)을 실행할 수 있는 문제를 해결했습니다. (CVSS 점수 8.1) * **CVE-2026-5816 (Web IDE 경로 검증 오류):** 특정 조건에서 웹 IDE 자산의 경로 검증이 부적절하게 이루어져, 인증되지 않은 사용자가 사용자의 브라우저 세션에서 임의의 자바스크립트를 실행할 수 있는 취약점을 수정했습니다. (CVSS 점수 8.0) * **CVE-2026-5262 (Storybook XSS):** Storybook 개발 환경에서 입력값 검증 미흡으로 인해 인증되지 않은 사용자가 토큰에 접근할 수 있는 교차 사이트 스크립팅(XSS) 이슈를 해결했습니다. (CVSS 점수 8.0) ### 서비스 거부(DoS) 취약점 보완 * **리소스 고갈 방지:** 토론(Discussions) 엔드포인트(CVE-2025-0186), 노트(Notes) 엔드포인트(CVE-2025-6016), GraphQL API(CVE-2025-3922)에서 리소스 할당 제한이 미흡하여 서버 자원을 고갈시킬 수 있는 DoS 문제를 수정했습니다. * **Jira 가져오기 오류(CVE-2026-1660):** 이슈를 가져오는 과정에서 부적절한 입력값 검증으로 인해 인증된 사용자가 DoS를 유발할 수 있는 취약점을 해결했습니다. ### 접근 제어 및 세션 관리 개선 * **가상 레지스트리 세션(CVE-2026-6515):** 만료되거나 잘못된 범위의 인증 정보를 사용하여 가상 레지스트리에 접근할 수 있었던 세션 만료 관련 이슈를 수정했습니다. * **비공개 정보 노출 차단(CVE-2026-5377):** 이슈 설명 렌더링 과정의 접근 제어 오류로 인해, 공개 프로젝트 내에서 비공개 이슈의 제목이 노출될 수 있는 문제를 해결했습니다. * **UI 레이어 및 API 보안:** Mermaid 샌드박스 내 입력값 검증 오류(CVE-2026-3254)와 프로젝트 포크(Fork) 관계 API의 부적절한 접근 제어 문제를 수정했습니다. 현재 GitLab.com은 이미 패치된 버전이 적용되어 있으며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. 그러나 Omnibus, Helm Chart, 소스 코드 설치 등 모든 유형의 자체 호스팅 설치 환경은 이번 취약점의 영향을 받으므로, 관리자는 보안 하이진 유지를 위해 지원되는 최신 패치 버전으로 즉시 업그레이드해야 합니다. 상세한 취약점 정보는 패치 릴리스 30일 후에 GitLab 이슈 트래커를 통해 공개될 예정입니다.

GitLab 패치 릴리스: 18.10.3, 18.9.5, 18.8.9 | GitLab 문서 (새 탭에서 열림)

GitLab은 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)의 보안 취약점과 버그를 해결하기 위해 최신 패치 버전인 18.10.3, 18.9.5, 18.8.9를 출시했습니다. 이번 업데이트에는 인증된 사용자가 서버 측 메서드를 임의로 호출할 수 있는 고위험군 취약점을 포함하여 서비스 거부(DoS), 정보 유출, 권한 오류 등 다수의 보안 수정 사항이 포함되어 있습니다. 시스템의 안전한 운영을 위해 자체 관리형(Self-managed) GitLab 인스턴스를 운영하는 모든 관리자는 즉시 최신 버전으로 업그레이드할 것을 권고합니다. ### 주요 보안 취약점 수정 및 고위험 이슈 * **웹소켓 연결을 통한 메서드 호출(CVE-2026-5173):** 부적절한 접근 제어로 인해 인증된 사용자가 의도하지 않은 서버 측 메서드를 호출할 수 있는 문제가 수정되었습니다. CVSS 점수 8.5의 고위험 취약점으로, GitLab 16.9.6 이후 모든 버전이 영향을 받습니다. * **Terraform 상태 잠금 API의 DoS(CVE-2026-1092):** JSON 페이로드의 입력값 검증 미흡으로 인해 인증되지 않은 사용자가 서비스 거부 공격을 유발할 수 있는 결함이 해결되었습니다. * **GraphQL 및 CSV 임포트 DoS:** 인증되지 않은 사용자가 반복적인 GraphQL 쿼리를 보내거나(CVE-2025-12664), 인증된 사용자가 구조가 잘못된 CSV 파일을 임포트하여 Sidekiq 워커를 중단시킬 수 있는(CVE-2026-1403) 취약점들이 수정되었습니다. ### 데이터 보호 및 권한 제어 개선 * **정보 유출 방지:** 특정 GraphQL 쿼리를 통해 타인의 이메일 주소가 노출되는 문제(CVE-2025-9484)와 CSV 내보내기 시 타인에게 할당된 기밀 이슈에 접근할 수 있는 권한 확인 미흡 문제를 해결했습니다. * **분석 대시보드 XSS(CVE-2026-4332):** 사용자 정의 가능한 분석 대시보드에서 입력값 정화(Sanitization)가 제대로 이루어지지 않아 타인의 브라우저에서 임의의 JavaScript를 실행할 수 있는 교차 사이트 스크립팅 취약점이 보완되었습니다. * **코드 품질 리포트 코드 주입(CVE-2026-1516):** 특수하게 제작된 리포트 콘텐츠를 통해 이를 열람하는 사용자의 IP 주소를 유출할 수 있는 보안 허점이 수정되었습니다. ### API 및 환경 설정 보안 강화 * **Environments API 권한 오류(CVE-2026-1752):** 개발자 권한을 가진 사용자가 API를 통해 보호된 환경 설정을 부적절하게 수정할 수 있는 권한 검증 로직을 강화했습니다. * **AI 탐지 API 및 SBOM API 안정성:** 취약점 플래그 AI 탐지 API의 권한 오류와 GraphQL SBOM API의 입력값 검증 미흡으로 인한 시스템 불안정 요소를 모두 제거했습니다. GitLab 설치 유형(Omnibus, Source code, Helm chart 등)에 관계없이 해당 버전을 사용하는 모든 환경이 영향 범위에 포함됩니다. GitLab.com은 이미 패치가 완료되었으나, 자체 서버를 운영 중인 고객은 보안 유지를 위해 지원되는 최신 패치 릴리스로 즉시 업그레이드해야 합니다. 각 취약점에 대한 상세한 이슈 내용은 보안 정책에 따라 릴리스 30일 후에 공개될 예정입니다.

Pingora OSS 배포 (새 탭에서 열림)

Cloudflare는 최근 오픈소스 프레임워크인 Pingora에서 발견된 여러 건의 HTTP/1.x 요청 스머글링(Request Smuggling) 취약점을 해결하기 위해 0.8.0 버전을 출시했습니다. 이번 취약점(CVE-2026-2833, 2835, 2836)은 Pingora를 단독 수신 프록시(Ingress Proxy)로 사용할 경우 보안 제어 우회, 세션 하이재킹, 캐시 오염 등을 유발할 수 있는 위험을 내포하고 있습니다. Cloudflare의 자체 CDN 서비스는 내부 아키텍처 구조상 영향을 받지 않았으나, Pingora 프레임워크를 활용하는 외부 사용자들에게는 즉각적인 업데이트가 권고됩니다. ### 101 응답 전 조기 업그레이드 처리 문제 * Pingora는 `Upgrade` 헤더를 포함한 요청을 받을 때, 백엔드로부터 `101 Switching Protocols` 응답을 확인하기 전에도 후속 바이트를 스트림으로 직접 전달하는 결함이 있었습니다. * 공격자는 업그레이드 요청 바로 뒤에 두 번째 HTTP 요청을 붙여서 보냄으로써, Pingora의 보안 필터나 WAF를 통과하지 않은 채 백엔드 서버에 직접 명령을 전달할 수 있었습니다. * 백엔드가 업그레이드를 거부하고 `200 OK`를 반환하더라도 Pingora는 이미 연결을 패스스루 모드로 전환했기 때문에, 프록시와 백엔드 간의 상태 불일치(Desync)가 발생하여 후속 사용자의 요청 데이터가 오염될 위험이 확인되었습니다. * 패치 이후 Pingora는 백엔드로부터 공식적인 101 응답을 받은 경우에만 데이터 해석 방식을 전환하도록 수정되었습니다. ### HTTP/1.0 및 Transfer-Encoding 해석의 불일치 * Pingora의 기존 로직은 `Transfer-Encoding` 헤더 인식 방식이 단순하여, 여러 인코딩이 나열되거나 표준을 벗어난 요청에서 본문 길이를 잘못 판단하는 경우가 있었습니다. * 특정 공격 시나리오에서 Pingora는 `Content-Length`를 기준으로 요청 본문의 끝을 인식했지만, 백엔드 서버(Node.js 등)는 `Transfer-Encoding: chunked`를 우선시하여 요청을 다르게 해석하는 CL.TE 방식의 스머글링이 가능했습니다. * 특히 HTTP/1.0 요청에서 `Transfer-Encoding`을 사용하는 비표준적인 상황에 대해 Pingora가 지나치게 관대하게 처리했던 점이 보안 약점으로 작용했습니다. * 0.8.0 버전에서는 RFC 표준에 따라 마지막 인코딩이 chunked인 경우를 정확히 식별하도록 강화되었으며, 유효하지 않은 인코딩 조합에 대한 검증 로직이 추가되었습니다. **권고 사항** Pingora를 사용하여 수신 프록시나 로드 밸런서를 구축한 운영자는 이러한 취약점으로부터 시스템을 보호하기 위해 즉시 **Pingora 0.8.0** 버전으로 업그레이드해야 합니다. Cloudflare 내부 시스템은 구조적으로 해당 공격 경로가 차단되어 있어 별도의 조치가 필요하지 않으나, 독립적인 배포 환경에서는 보안 사고의 원인이 될 수 있으므로 주의가 필요합니다.

GitLab 버그 바운티 프로그램 (새 탭에서 열림)

GitLab은 보안 연구자 커뮤니티와의 협력을 강화하고 더욱 투명한 운영을 위해 HackerOne 버그 바운티 프로그램의 정책을 대대적으로 업데이트했습니다. 이번 개편은 프로덕션 인프라의 안정성을 보호하기 위한 테스트 가이드라인 강화와 최신 보안 위협을 반영한 취약점 범위(Scope) 조정을 골자로 합니다. 연구자들은 더욱 명확해진 기준을 통해 혼선 없이 고영향력 취약점 발굴에 집중할 수 있게 되었습니다. ### 안전한 연구를 위한 테스트 가이드라인 강화 * **로컬 테스트 환경 권장:** 프로덕션 인프라 보호를 위해 GitLab Development Kit(GDK)을 활용한 로컬 테스트를 강력히 권장합니다. 이를 통해 연구자는 최신 기능을 공개 전 미리 확인하고 자유롭게 실험할 수 있습니다. * **DoS 테스트 조건:** 서비스 거부(DoS) 취약점을 증명해야 할 경우, 실제 서비스가 아닌 GitLab 설치 요구 사양을 충족하는 셀프 매니지드(Self-managed) 인스턴스에서 테스트를 진행해야 합니다. * **프로덕션 계정 규칙:** GitLab.com 서비스 환경에서의 테스트가 불가피한 경우, 반드시 HackerOne 이메일 별칭(`[username]@wearehackerone.com`)으로 생성된 테스트 계정만을 사용해야 합니다. ### 보안 환경 변화에 따른 취약점 범위 조정 * **서비스 거부(DoS) 제한:** 일반적인 DoS는 범위에서 제외되나, 인증되지 않은 엔드포인트를 통해 실행 가능하며 지속적이고 완전한 서비스 중단을 초래하는 애플리케이션 계층 DoS(ReDoS, 논리 폭탄 등)는 예외적으로 인정될 수 있습니다. * **AI 프롬프트 인젝션:** 단독 프롬프트 인젝션은 제외 사항입니다. 다만, 이를 초기 벡터로 삼아 보안 경계를 넘어선 실질적인 피해를 입히는 경우에는 유효한 취약점으로 간주될 수 있습니다. * **데이터 노출 기준 명확화:** 단순한 정보 수집이나 열거(Enumeration)는 제외되지만, 기밀 데이터가 노출되는 개인정보 침해 사례는 엄격히 취약점 범위에 포함됩니다. ### 연구자 보호를 위한 전환기 정책 및 원칙 * **7일의 유예 기간 제공:** 정책 변경으로 인한 혼란을 막기 위해 2026년 1월 22일 21:00(PT) 이전에 제출된 DoS 관련 보고서는 이전 정책을 적용하여 평가합니다. * **운영 원칙 준수:** 투명성(모호함 제거), 안전성(인프라 보호), 공정성(일관된 평가 표준)이라는 세 가지 원칙을 바탕으로 연구자들에게 예측 가능한 보상 환경을 제공합니다. 새로운 정책 하에서 활동하려는 보안 연구자들은 GitLab GDK를 설치하여 로컬 테스트 환경을 우선 구축하는 것이 권장됩니다. 또한, 상세한 취약점 평가를 위해 GitLab에서 제공하는 CVSS 계산기를 활용하여 보고서의 객관성을 높일 수 있습니다.