오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.6.2, 18.5.4, 18.4.6 버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

제목심각도
Wiki의 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향높음
취약점 보고서의 부적절한 인코딩이 GitLab CE/EE에 영향높음
Swagger UI의 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향높음
GraphQL 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향높음
WebAuthn 사용자의 인증 우회 문제가 GitLab CE/EE에 영향중간
ExifTool 처리의 서비스 거부 문제가 GitLab CE/EE에 영향중간
Commit API의 서비스 거부 문제가 GitLab CE/EE에 영향중간
컴플라이언스 프레임워크의 정보 유출 문제가 GitLab EE에 영향중간
오류 메시지를 통한 정보 유출이 GitLab CE/EE에 영향중간
병합 요청 제목의 HTML 인젝션 문제가 GitLab CE/EE에 영향낮음

Wiki의 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향

GitLab은 특정 조건에서 인증된 사용자가 악성 콘텐츠가 포함된 위키 페이지를 생성하여 다른 사용자를 대신하여 무단 작업을 수행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.4 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)

CVE : CVE-2025-12716** **

취약점 보고서의 부적절한 인코딩이 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 취약점 코드 흐름 표시에 악성 HTML을 주입하여 다른 사용자를 대신하여 무단 작업을 수행할 수 있었던 보안 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 17.1 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)

CVE : CVE-2025-8405

Swagger UI의 크로스 사이트 스크립팅 문제가 GitLab CE/EE에 영향

GitLab은 특정 상황에서 인증되지 않은 사용자가 Swagger UI에 악성 외부 스크립트를 주입하여 다른 사용자를 대신하여 무단 작업을 수행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 15.11 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)

CVE : CVE-2025-12029

GraphQL 엔드포인트의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 쿼리 복잡도 제한을 우회하는 조작된 GraphQL 쿼리를 전송하여 서비스 거부 상태를 생성할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 11.10 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

CVE : CVE-2025-12562** **

WebAuthn 사용자의 인증 우회 문제가 GitLab CE/EE에 영향

GitLab은 특정 조건에서 인증된 사용자가 세션 상태를 조작하여 WebAuthn 2단계 인증을 우회할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 13.1 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 6.8 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N)

CVE : CVE-2025-11984** **

ExifTool 처리의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 특수하게 조작된 이미지를 업로드하여 서비스 거부 상태를 발생시킬 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 11.10 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

CVE : CVE-2025-4097

Commit API의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 큰 콘텐츠 매개변수가 포함된 조작된 API 호출을 전송하여 서비스 거부 상태를 발생시킬 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 6.3 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

CVE : CVE-2025-14157** **

컴플라이언스 프레임워크의 정보 유출 문제가 GitLab EE에 영향

GitLab은 사용자가 특별히 조작된 GraphQL 쿼리를 실행하여 비공개 프로젝트의 민감한 정보를 유출할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 13.2 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

CVE : CVE-2025-11247

오류 메시지를 통한 정보 유출이 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 API 요청을 통해 접근 권한이 없는 비공개 프로젝트의 이름을 발견할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 17.5 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

CVE : CVE-2025-13978** **

병합 요청 제목의 HTML 인젝션 문제가 GitLab CE/EE에 영향

GitLab은 인증된 사용자가 특별히 조작된 병합 요청 제목을 통해 민감한 정보를 유출할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 15.6 이상 18.4.6 미만, 18.5 이상 18.5.4 미만, 18.6 이상 18.6.2 미만의 모든 버전

CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N)

CVE : CVE-2025-12734** **

버그 수정 및 개선사항

18.6.2

18.5.4

18.4.6

업그레이드 시 중요 사항

이 패치에는 업그레이드 프로세스에 영향을 줄 수 있는 데이터베이스 마이그레이션이 포함되어 있습니다.

설치에 미치는 영향:

  • 단일 노드 인스턴스: GitLab이 시작되기 전에 마이그레이션이 완료되어야 하므로 이 패치는 업그레이드 중에 다운타임을 발생시킵니다.
  • 다중 노드 인스턴스: 적절한 무중단 업그레이드 절차를 사용하면 이 패치를 다운타임 없이 적용할 수 있습니다.

배포 후 마이그레이션

다음 버전에는 업그레이드 후 실행할 수 있는 배포 후 마이그레이션이 포함되어 있습니다:

  • 18.6.2
  • 18.5.4

설치 환경에 대한 업그레이드의 영향에 대해 자세히 알아보려면 다음을 참조하십시오:

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기