GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 18.10.3, 18.9.5, 18.8.9 버전이 출시되었습니다. 이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으며, 모든 셀프 관리형 GitLab 설치 환경을 즉시 이 중 하나의 버전으로 업그레이드하실 것을 강력히 권장합니다. GitLab.com은 이미 패치된 버전을 실행 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.

GitLab은 패치 릴리즈를 통해 취약점에 대한 수정 사항을 제공합니다. 패치 릴리즈에는 두 가지 유형이 있습니다: 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 패치입니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ를 참고하세요. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 확인하실 수 있습니다.

보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다.

GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하실 것을 강력히 권장합니다. GitLab 인스턴스 보안 모범 사례에 대해서는 저희 블로그 게시글을 참고해 주세요.

권장 조치

---

아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경을 가능한 한 빨리 최신 버전으로 업그레이드하실 것을 강력히 권장합니다.

제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 언급되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.

보안 수정 사항

---

보안 수정 사항 목록

---

CVE-2026-5173 - 웹소켓 연결의 메서드 노출 문제가 GitLab CE/EE에 영향

GitLab은 부적절한 접근 제어로 인해 인증된 사용자가 웹소켓 연결을 통해 의도하지 않은 서버 사이드 메서드를 호출할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 16.9.6부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 8.5

CVE-2026-1092 - Terraform 상태 잠금 API의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 JSON 페이로드의 부적절한 입력 검증으로 인해 인증되지 않은 사용자가 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 12.10부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 7.5

CVE-2025-12664 - GraphQL API의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 인증되지 않은 사용자가 반복적인 GraphQL 쿼리 전송을 통해 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 13.0부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 7.5

CVE-2026-1403 - CSV 가져오기의 서비스 거부 문제가 GitLab CE/EE에 영향

GitLab은 CSV 파일 구조의 부적절한 검증으로 인해 CSV 파일 가져오기 시 인증된 사용자가 Sidekiq 워커에 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 11.7부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 6.5

CVE-2026-1101 - GraphQL SBOM API의 서비스 거부 문제가 GitLab EE에 영향

GitLab은 GraphQL 쿼리의 부적절한 입력 검증으로 인해 인증된 사용자가 GitLab 인스턴스에 서비스 거부 상태를 유발할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 18.2부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 6.5

CVE-2026-1516 - 코드 품질 보고서의 코드 인젝션 문제가 GitLab EE에 영향

GitLab은 코드 품질 보고서에서 인증된 사용자가 특수하게 조작된 콘텐츠를 통해 보고서를 열람하는 사용자의 IP 주소를 유출할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 18.0.0부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 5.7

CVE-2026-4332 - 분석 대시보드의 크로스 사이트 스크립팅 문제가 GitLab EE에 영향

GitLab은 커스터마이즈 가능한 분석 대시보드에서 부적절한 입력 새니타이징으로 인해 인증된 사용자가 다른 사용자의 브라우저 컨텍스트에서 임의의 JavaScript를 실행할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 18.2부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 5.4

CVE-2026-2619 - 취약점 플래그 AI 탐지 API의 잘못된 인가 문제가 GitLab EE에 영향

GitLab은 특정 상황에서 감사자(auditor) 권한을 가진 인증된 사용자가 잘못된 인가로 인해 비공개 프로젝트의 취약점 플래그 데이터를 수정할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 18.6부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 4.3

CVE-2025-9484 - 특정 GraphQL 쿼리의 정보 노출 문제가 GitLab EE에 영향

GitLab은 특정 상황에서 인증된 사용자가 특정 GraphQL 쿼리를 통해 다른 사용자의 이메일 주소에 접근할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 16.6부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 4.3

CVE-2026-1752 - Environments API의 부적절한 접근 제어 문제가 GitLab EE에 영향

GitLab은 API의 부적절한 인가 검사로 인해 개발자(Developer) 역할 권한을 가진 인증된 사용자가 보호된 환경 설정을 수정할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab EE: 11.3부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 4.3

CVE-2026-2104 - CSV 내보내기의 정보 노출 문제가 GitLab CE/EE에 영향

GitLab은 불충분한 인가 검사로 인해 인증된 사용자가 CSV 내보내기를 통해 다른 사용자에게 할당된 기밀 이슈에 접근할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.2부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 4.3

CVE-2026-4916 - 커스텀 역할 권한의 인가 누락 문제가 GitLab CE/EE에 영향

GitLab은 멤버 관리 작업의 부적절한 인가 검사로 인해 커스텀 역할 권한을 가진 인증된 사용자가 더 높은 권한을 가진 그룹 멤버를 강등하거나 제거할 수 있었던 문제를 해결했습니다.

영향받는 버전: GitLab CE/EE: 18.2부터 18.8.9 이전, 18.9부터 18.9.5 이전, 18.10부터 18.10.3 이전의 모든 버전

CVSS 2.7

버그 수정

---

18.10.3

• [18.10] "Merge branch 'segregate-buildx-build-among-rails-ce-and-ee' into 'master'" 되돌리기
• gitlab-zoekt를 18-10-stable에서 v1.11.1로 업그레이드
• parallel:matrix 확장 잡 이름 길이 유효성 검사 백포트
• spec/requests/api/merge_requests_spec.rb의 간헐적 실패 수정
• !228726 이후 new_project_spec.rb의 남은 실패 수정 백포트
• 안정 브랜치에서 gitlab-rspec 테스트 실패 수정 백포트
• http 및 llhttp-ffi 업그레이드 백포트
• '595107/fix-model-selection-ui-regression' 18.10으로 백포트
• [18.10] AMI 게시 목록에서 me-south-1 리전 제거
• 18.10 백포트: SLES12 패키지에 Spamcheck 미포함
• 18-10 백포트: check-packages-functionality 트리거 잡에서 하위 실패를 전파하도록 strategy:mirror 설정

18.9.5

• [18.9] 의존성 프록시 접근을 위한 복합 ID 지원 수정
• spec/requests/api/merge_requests_spec.rb의 간헐적 실패 수정
• !228726 이후 new_project_spec.rb의 남은 실패 수정 백포트
• '595107/fix-model-selection-ui-regression' 18.9로 백포트
• [18.9] AMI 게시 목록에서 me-south-1 리전 제거
• 18.9 백포트: SLES12 패키지에 Spamcheck 미포함
• 18-9 백포트: check-packages-functionality 트리거 잡에서 하위 실패를 전파하도록 strategy:mirror 설정

18.8.9

• !228726 이후 new_project_spec.rb의 남은 실패 수정 백포트
• '595107/fix-model-selection-ui-regression' 18.8로 백포트
• [18.8] AMI 게시 목록에서 me-south-1 리전 제거
• 18-8 백포트: check-packages-functionality 트리거 잡에서 하위 실패를 전파하도록 strategy:mirror 설정

업그레이드 시 중요 참고사항

---

이 버전들에는 새로운 마이그레이션이 포함되어 있지 않으며, 다중 노드 배포의 경우 다운타임 없이 업그레이드할 수 있습니다.

기본적으로 Omnibus 패키지는 업그레이드 규모에 관계없이 중지 → 마이그레이션 실행 → 재시작 순서로 동작한다는 점을 참고하세요. 이 동작은 /etc/gitlab/skip-auto-reconfigure 파일을 추가하여 변경할 수 있으며, 이 파일은 업데이트 시에만 사용됩니다.

18.10.3 및 18.9.5에 대한 SLES 12.5 패키지는 이번 릴리즈에 포함되지 않습니다.

업데이트

---

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.