InfoGrab
InfoGrab

GitLab 보안 패치 릴리즈 18.8.4, 18.7.4, 18.6.6

패치GitLab깃랩릴리즈보안

GitLab 보안 패치 릴리즈 18.8.4, 18.7.4, 18.6.6

EvaEva
··16 min read
GitLab 보안 패치 릴리즈 18.8.4, 18.7.4, 18.6.6

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.8.4, 18.7.4, 18.6.6 버전이 출시되었습니다. 이 버전들은 15건의 보안 수정 사항과 다수의 버그 수정을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그의 관련 게시글을 참고해 주세요.

권장 조치

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

CVE제목심각도
CVE-2025-7659Web IDE의 불완전한 검증으로 인한 토큰 탈취 문제가 GitLab CE/EE에 영향높음
CVE-2025-8099GraphQL 인트로스펙션의 서비스 거부 문제가 GitLab CE/EE에 영향높음
CVE-2026-0958JSON 검증의 서비스 거부(메모리/CPU 소진) 문제가 GitLab CE/EE에 영향높음
CVE-2025-14560코드 플로우의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향높음
CVE-2026-0595테스트 케이스 제목의 HTML 인젝션 문제가 GitLab CE/EE에 영향높음
CVE-2026-1458Markdown 프로세서의 서비스 거부 문제가 GitLab CE/EE에 영향중간
CVE-2026-1456Markdown 미리보기의 서비스 거부 문제가 GitLab CE/EE에 영향중간
CVE-2026-1387대시보드의 서비스 거부 문제가 GitLab EE에 영향중간
CVE-2025-12575Virtual Registry의 SSRF 문제가 GitLab EE에 영향중간
CVE-2026-1094Diff 파서의 부적절한 검증 문제가 GitLab CE/EE에 영향중간
CVE-2025-12073Git 리포지토리 Import의 SSRF 문제가 GitLab CE/EE에 영향중간
CVE-2026-1080Iterations API의 인가 우회 문제가 GitLab EE에 영향중간
CVE-2025-14592GLQL API의 인가 누락 문제가 GitLab CE/EE에 영향낮음
CVE-2026-1282프로젝트 라벨의 저장형 HTML 인젝션 문제가 GitLab CE/EE에 영향낮음
CVE-2025-14594Pipeline Schedules API의 인가 우회 문제가 GitLab CE/EE에 영향낮음

Web IDE의 불완전한 검증으로 인한 토큰 탈취 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 Web IDE의 불완전한 검증을 악용하여 토큰을 탈취하고 비공개 리포지토리에 접근할 수 있었던 문제를 해결했습니다. 이 취약점은 인증 보안에 직접적인 영향을 미치므로 최우선 대응이 필요합니다.

영향받는 버전: GitLab CE/EE: 18.2부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)

GraphQL 인트로스펙션의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 반복적인 GraphQL 쿼리를 전송하여 서비스 거부(DoS) 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 10.8부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

JSON 검증의 서비스 거부(메모리/CPU 소진) 문제가 GitLab CE/EE에 영향

GitLab은 JSON 검증 미들웨어를 우회하여 메모리 또는 CPU를 소진시킬 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.4부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

코드 플로우의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향

GitLab은 코드 플로우에서 크로스 사이트 스크립팅(XSS)이 가능했던 문제를 해결했습니다. 악의적으로 조작된 코드를 통해 사용자의 세션이 탈취될 수 있었습니다.

영향받는 버전: GitLab CE/EE: 17.1부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 7.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)

테스트 케이스 제목의 HTML 인젝션 문제가 GitLab CE/EE에 영향

GitLab은 테스트 케이스 제목에 HTML을 삽입하여 페이지 콘텐츠를 조작할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 13.9부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 7.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N)

Markdown 프로세서의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 조작된 Markdown 콘텐츠를 통해 Markdown 프로세서에서 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 8.0부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Markdown 미리보기의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 Markdown 미리보기 기능에서 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

대시보드의 서비스 거부 문제가 GitLab EE에 영향

GitLab은 대시보드 기능에서 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 15.6부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)

Virtual Registry의 SSRF 문제가 GitLab EE에 영향

GitLab은 Virtual Registry에서 SSRF(Server-Side Request Forgery)가 가능했던 문제를 해결했습니다. 공격자가 내부 네트워크 리소스에 접근할 수 있었습니다.

영향받는 버전: GitLab EE: 18.0부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)

Diff 파서의 부적절한 검증 문제가 GitLab CE/EE에 영향

GitLab은 Diff 파서에서 부적절한 입력 검증으로 인해 예기치 않은 동작이 발생할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.8부터 18.8.3 이전의 모든 버전

CVSS 4.6 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N)

Git 리포지토리 Import의 SSRF 문제가 GitLab CE/EE에 영향

GitLab은 Git 리포지토리 가져오기 기능에서 SSRF가 가능했던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.0부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)

Iterations API의 인가 우회 문제가 GitLab EE에 영향

GitLab은 Iterations API에서 인가(Authorization)를 우회할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 16.7부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

GLQL API의 인가 누락 문제가 GitLab CE/EE에 영향

GitLab은 GLQL API에서 적절한 인가 검증이 누락된 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.6부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 3.7 (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)

프로젝트 라벨의 저장형 HTML 인젝션 문제가 GitLab CE/EE에 영향

GitLab은 프로젝트 라벨에 HTML을 삽입하여 저장형(Stored) HTML 인젝션이 가능했던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.6부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N)

Pipeline Schedules API의 인가 우회 문제가 GitLab CE/EE에 영향

GitLab은 Pipeline Schedules API에서 인가를 우회할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 17.11부터 18.6.5 이전, 18.7부터 18.7.3 이전, 18.8부터 18.8.3 이전의 모든 버전

CVSS 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N)

버그 수정 및 개선사항

18.8.4

18.7.4

18.6.6

GitLab Duo Agent Platform(DAP) 체험판 개선

GitLab.com의 Ultimate 체험판 사용자는 이제 30일 동안 사용자당 24개의 평가 크레딧을 받아 에이전틱 AI 기능을 테스트할 수 있습니다. 자율적 작업 실행과 다단계 워크플로우 오케스트레이션 등의 기능을 평가할 수 있습니다. 셀프 관리형 고객은 최적의 체험판 경험을 위해 18.9 버전 출시 시 업데이트하시기 바랍니다.

업그레이드 시 중요 참고사항 및 마이그레이션

데이터베이스 마이그레이션 영향

이 패치에는 업그레이드 프로세스에 영향을 주는 데이터베이스 마이그레이션이 포함되어 있습니다.

인스턴스 유형별 영향

  • 단일 노드 인스턴스: GitLab 시작 전에 마이그레이션이 완료되어야 하므로 업그레이드 중 다운타임이 발생합니다.
  • 다중 노드 인스턴스: 무중단 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.

배포 후 마이그레이션 포함 버전

  • 18.8.4

참고 문서

업데이트

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.

Eva

Eva

Project Manager

UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.

이 저자의 글 모두 보기 →
← 이전 글GitLab AI Gateway 긴급 보안 패치 릴리즈 18.6.2, 18.7.1, 18.8.12026년 2월 6일다음 글 →2026년 2월 n8n 최신 버전 주요 업데이트2026년 2월 16일

관련 글

GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
DevOps패치

GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9

GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.

2026년 4월 9일

GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
DevOps패치

GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7

GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.

2026년 4월 2일

GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
패치릴리즈

GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6

GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.

2026년 3월 11일

← 릴리즈 노트 목록
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!