오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.8.4, 18.7.4, 18.6.6 버전이 출시되었습니다. 이 버전들은 15건의 보안 수정 사항과 다수의 버그 수정을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 ��수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.
권장 조치
아래 설명된 ��문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.
| CVE | 제목 | 심각도 |
|---|---|---|
| CVE-2025-7659 | Web IDE의 불완전한 검증으로 인한 토큰 탈취 문제가 GitLab CE/EE에 영향 | 높음 |
| CVE-2025-8099 | GraphQL 인트로스펙션의 서비스 거부 문제가 GitLab CE/EE에 영향 | 높음 |
| CVE-2026-0958 | JSON 검증의 서비스 거부(메모리/CPU 소진) 문제가 GitLab CE/EE에 영향 | 높음 |
| CVE-2025-14560 | 코드 플로우의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향 | 높음 |
| CVE-2026-0595 | 테스트 케이스 제목의 HTML 인젝션 문제가 GitLab CE/EE에 영향 | 높음 |
| CVE-2026-1458 | Markdown 프로세서의 서비스 거부 문제가 GitLab CE/EE에 영향 | 중간 |
| CVE-2026-1456 | Markdown 미리보기의 서비스 거부 문제가 GitLab CE/EE에 영향 | 중간 |
| CVE-2026-1387 | 대시보드의 서비스 거부 문제가 GitLab EE에 영향 | 중간 |
| CVE-2025-12575 | Virtual Registry의 SSRF 문제가 GitLab EE에 영향 | 중간 |
| CVE-2026-1094 | Diff 파서의 부적절한 검증 문제가 GitLab CE/EE에 영향 | 중간 |
| CVE-2025-12073 | Git 리포지토리 Import의 SSRF 문제가 GitLab CE/EE에 영향 | 중간 |
| CVE-2026-1080 | Iterations API의 인가 우회 문제가 GitLab EE에 영향 | 중간 |
| CVE-2025-14592 | GLQL API의 인가 누락 문제가 GitLab CE/EE��에 영향 | 낮음 |
| CVE-2026-1282 | 프로젝트 라벨의 저장형 HTML 인젝션 문제가 GitLab CE/EE에 영향 | 낮음 |
| CVE-2025-14594 | Pipeline Schedules API의 인가 우회 문제가 GitLab CE/EE에 영향 | 낮음 |
Web IDE의 불완전한 검증으로 인한 토큰 탈취 문제가 GitLab CE/EE에 영향
GitLab은 인증되지 않은 사용자가 Web IDE의 불완전한 검증을 악용하여 토큰을 탈취하고 비공개 리포지토리에 접근할 수 있었던 문제를 해결했습니다. 이 취약점은 인증 보안에 직접적인 영향을 미치므로 최우선 대응이 필요합니다.
영향받는 버전: GitLab CE/EE: 18.2부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)
GraphQL 인트로스펙션의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 인증되지 않은 사용자가 반복적인 GraphQL 쿼리를 전송하여 서비스 거부(DoS) 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 10.8부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
JSON 검증의 서비스 거부(메모리/CPU 소진) 문제가 GitLab CE/EE에 영향
GitLab은 JSON 검증 미들웨어를 우회하여 메모리 또는 CPU를 소진시킬 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 18.4부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
코드 플로우의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향
GitLab은 코드 플로우에서 크로스 사이트 스크립팅(XSS)이 가능했던 문제를 해결했습니다. 악의적으로 조작된 코드를 통해 사용자의 세션이 탈취될 수 있었습니다.
영향받는 버전: GitLab CE/EE: 17.1부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 7.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)
테스트 케이스 제목의 HTML 인젝션 문제가 GitLab CE/EE에 영향
GitLab은 테스트 케이스 제목에 HTML을 삽입하여 페이지 콘텐츠를 조작할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 13.9부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 7.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)
Markdown 프로세서의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 조작된 Markdown 콘텐츠를 통해 Markdown 프로세서에서 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 8.0부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Markdown 미리보기의 서비스 거부 문제가 GitLab CE/EE에 영향
GitLab은 Markdown 미리보기 기능에서 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
대시보드의 서비스 거부 문제가 GitLab EE에 영향
GitLab은 대시보드 기능에서 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab EE: 15.6부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Virtual Registry의 SSRF 문제가 GitLab EE에 영향
GitLab은 Virtual Registry에서 SSRF(Server-Side Request Forgery)가 가능했던 문제를 해결했습니다. 공격�자가 내부 네트워크 리소스에 접근할 수 있었습니다.
영향받는 버전: GitLab EE: 18.0부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)
Diff 파서의 부적절한 검증 문제가 GitLab CE/EE에 영향
GitLab은 Diff 파서에서 부적절한 입력 검증으로 인해 예기치 않은 동작이 발생할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 18.8부터 18.8.3 이전의 모든 버전
CVSS 4.6 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N)
Git 리포지토리 Import의 SSRF 문제가 GitLab CE/EE에 영향
GitLab은 Git 리포지토리 가져오기 기능에서 SSRF가 가능했던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 18.0부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)
Iterations API의 인가 우회 문제가 GitLab EE에 영향
GitLab은 Iterations API에서 인가(Authorization)를 우회할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab EE: 16.7부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
GLQL API의 인가 누락 문제가 GitLab CE/EE에 영향
GitLab은 GLQL API에서 적절한 인가 검증이 누락된 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 18.6부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 3.7 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)
프로젝트 라벨의 저장형 HTML 인젝션 문제가 GitLab CE/EE에 영향
GitLab은 프로젝트 라벨에 HTML을 삽입하여 저장형(Stored) HTML 인젝션이 가능했던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 18.6부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N)
Pipeline Schedules API의 인가 우회 문제가 GitLab CE/EE에 영향
GitLab은 Pipeline Schedules API에서 인가를 우회할 수 있었던 문제를 해결했습니다.
영향받는 버전: GitLab CE/EE: 17.11부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전
CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N)
버그 수정 및 개선사항
18.8.4
- Golang 의존성 v1.24.12 업데이트
- 삭제 실패 프로젝트의 상태 동기화 수정
- Merge Request의 bigint 마이그레이션용 스테이징 인덱스 추가
- 전역 검색 코드 탭 가시성 수정
- Git LFS 경로 HTTP 스로틀링 제외 처리
- 외부 에이전트 시딩용 REST 엔드포인트 수정
- 서드파티 플로우 설명 업데이트
- Admin GitLab Duo 시딩 인터페이스 개선
- Duo Enterprise 시트 할당 검증 수정
- GraphQL 구독 사용량 API 개선
- 인덱싱 사전 점검(Preflight Checks) 추가
- DAP 온보딩 UX 개선
- 사용량 청구 체험판 카드 추가
- Duo Chat 권한 가시성 수정
- Zoekt 인덱싱 레플리카 정리
- Mattermost 보안 업데이트 (2026년 1월 15일)
18.7.4
- DAP 활성화 설정 가용성 수정
- PipelineSecurityReportFindings 쿼리 타임아웃 해결
- 인덱싱 사전 점검(Preflight Checks) 추가
- Mattermost 보안 업데이트 (2026년 1월 15일)
18.6.6
- PipelineSecurityReportFindings 쿼리 타임아웃 해결
- 인덱싱 사전 점검(Preflight Checks) 추가
- Mattermost 보안 업데이트 (2026년 1월 15일)
GitLab Duo Agent Platform(DAP) 체험판 개선
GitLab.com의 Ultimate 체험판 사용자는 이제 30일 동안 사용자당 24개의 평가 크레딧을 받아 에이전틱 AI 기능을 테스트할 수 있습니다. 자율적 작업 실행과 다단계 워크플로우 오케스트레이션 등의 기능을 평가할 수 있습니다. 셀프 관리형 고객은 최적의 체험판 경험을 위해 18.9 버전 출시 시 업데이트하시기 바랍니다.
업그레이드 시 중요 참고사항 및 마이그레이션
데이터베이스 마이그레이션 영향
이 패치에는 업그레이드 프로세스에 영향을 주는 데이터베이스 마이그레이션이 포함되어 있습니다.
인스턴스 유형별 영향
- 단일 노드 인스턴스: GitLab 시작 전에 마이그��레이션이 완료되어야 하므로 업그레이드 중 다운타임이 발생합니다.
- 다중 노드 인스턴스: 무중단 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.
배포 후 마이그레이션 포함 버전
- 18.8.4
참고 문서
- 다중 노드 배포: 무중단 업그레이드 가이드
- 단일 노드 설치: 표준 업그레이드 가이드
업데이트
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.