GitLab에서 AI Gateway의 18.6.2, 18.7.1, 18.8.1 버전을 출시했습니다. 이 버전들은 Self-Hosted 설치 환경을 위한 치명적(Critical) 보안 수정 사항을 포함하고 있습니다. GitLab 호스팅 서비스에는 이미 수정 사항이 배포되었습니다. GitLab Duo Self-Hosted를 사용하는 모든 셀프 관리형 인스턴스는 즉시 최신 버전으로 업그레이드하시길 강력히 권장합니다.
영향 범위
즉시 업데이트 필요
- GitLab Duo Self-Hosted 설치 환경을 사용하는 셀프 관리형(Self-Managed) 고객
조치 불필요
- GitLab.com 사용자
- GitLab Dedicated 고객
- GitLab 호스팅 AI Gateway를 사용하는 셀프 관리형 인스턴스 (이미 패치 완료)
권장 조치
아래 설명된 문제의 영향을 받는 버전의 Self-Hosted AI Gateway를 실행 중인 모든 GitLab Duo Self-Hosted 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
| 제목 | 심각도 |
|---|---|
| Duo Workflow Service의 안전하지 않은 템플릿 확장 취약점이 GitLab AI Gateway에 영향 | 치명적(Critical) |
보안 취약점 상세
CVE-2026-1868: 안전하지 않은 템플릿 확장(Insecure Template Expansion)
심각도: 치명적(Critical)
GitLab AI Gateway의 Duo Workflow Service 컴포넌트에서, 조작된 Duo Agent Platform Flow 정의를 통해 사용자가 제공한 데이터의 안전하지 않은 템플릿 확장이 가능한 취약점이 발견되었습니다.
공격 조건:
- GitLab 인스턴스에 대한 인증된 접근 권한 필요
잠재적 영향:
- Gateway에서의 서비스 거부(DoS) 또는 코드 실행
- 영향받는 버전: GitLab AI Gateway: 18.1.6, 18.2.6, 18.3.1 이후부터 18.6.2, 18.7.1, 18.8.1 이전의 모든 버전
- CVSS 9.9 (
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)
업데이트
GitLab Duo Self-Hosted AI Gateway를 업데이트하려면 GitLab Duo Self-Hosted 설치 문서를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.