InfoGrab
문의하기
InfoGrab

GitLab 보안 패치 릴리즈 19.0.1, 18.11.4, 18.10.7

릴리즈노트GitLab패치보안

GitLab 보안 패치 릴리즈 19.0.1, 18.11.4, 18.10.7

EvaEva
··14 min read
GitLab 보안 패치 릴리즈 19.0.1, 18.11.4, 18.10.7

2026년 5월 27일, GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 19.0.1, 18.11.4, 18.10.7 버전이 출시되었습니다.

이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.

GitLab은 패치 릴리즈를 통해 취약점에 대한 수정 사항을 배포합니다. 패치 릴리즈에는 두 가지 유형이 있습니다. 정기 릴리즈와 고위험 취약점에 대한 임시(ad-hoc) 긴급 패치입니다. 정기 릴리즈는 매월 둘째 주와 넷째 주 수요일, 한 달에 두 번 배포됩니다. 자세한 내용은 GitLab의 릴리즈 핸드북과 보안 FAQ를 참조하세요.

보안 수정과 관련하여, 각 취약점의 상세 내용을 담은 이슈는 패치가 적용된 릴리즈로부터 30일 후 GitLab 이슈 트래커에 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 보관하는 모든 영역을 최고 수준의 보안 표준으로 유지하기 위해 노력하고 있습니다. 좋은 보안 위생(security hygiene)을 유지하기 위해, 모든 고객은 사용 중인 지원 버전의 최신 패치 릴리즈로 업그레이드하실 것을 강력히 권장합니다.

권장 조치

아래에 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.

특정 배포 유형(omnibus, 소스 코드, helm chart 등)이 명시되지 않은 경우, 이는 모든 유형이 영향을 받음을 의미합니다.

보안 취약점

이번 릴리즈에서 수정된 보안 취약점 목록입니다.

제목심각도
Duo AI 워크플로우 러너의 부적절한 접근 제어 (GitLab EE 영향)높음(High)
Wiki의 서비스 거부(DoS) (GitLab CE/EE 영향)중간(Medium)
GraphQL WorkItem API의 잘못된 인가 (GitLab CE/EE 영향)중간(Medium)
Duo Workflows API의 부적절한 인가 (GitLab EE 영향)중간(Medium)
Operations의 인가 누락 (GitLab EE 영향)중간(Medium)
Pipelines의 잘못된 이름 확인(Name Resolution) (GitLab CE/EE 영향)중간(Medium)
특정 인증 엔드포인트의 잘못된 인가 (GitLab CE/EE 영향)중간(Medium)

CVE-2026-4868 — Duo AI 워크플로우 러너의 부적절한 접근 제어 (GitLab EE)

GitLab은 특정 조건에서 Duo AI 워크플로우 러너를 트리거할 때 사용자 신원 확인(user identity resolution)이 부적절하게 처리되어, 인증된 사용자가 특정 Duo AI 워크플로우를 다른 사용자의 신원으로 실행시킬 수 있었던 문제를 수정했습니다.

  • 영향 버전: GitLab EE — 18.8 이상 18.10.7 미만, 18.11 이상 18.11.4 미만, 19.0 이상 19.0.1 미만의 모든 버전
  • CVSS 8.2 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N)
  • HackerOne 버그 바운티 프로그램을 통해 제보해 주신 ahacker1 님께 감사드립니다.

CVE-2026-1402 — Wiki의 서비스 거부(DoS) (GitLab CE/EE)

GitLab은 특정 조건에서 검증이 불충분하여 인증된 사용자가 서비스 거부(DoS)를 유발할 수 있었던 문제를 수정했습니다.

  • 영향 버전: GitLab CE/EE — 17.1 이상 18.10.7 미만, 18.11 이상 18.11.4 미만, 19.0 이상 19.0.1 미만의 모든 버전
  • CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
  • HackerOne 버그 바운티 프로그램을 통해 제보해 주신 a92847865 님께 감사드립니다.

CVE-2026-6713 — GraphQL WorkItem API의 잘못된 인가 (GitLab CE/EE)

GitLab은 특정 조건에서 잘못된 인가 검사로 인해 권한이 없는 사용자가 비공개 프로젝트를 열거(enumerate)할 수 있었던 문제를 수정했습니다.

  • 영향 버전: GitLab CE/EE — 18.2 이상 18.10.7 미만, 18.11 이상 18.11.4 미만, 19.0 이상 19.0.1 미만의 모든 버전
  • CVSS 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
  • HackerOne 버그 바운티 프로그램을 통해 제보해 주신 pollito 님께 감사드립니다.

CVE-2026-5296 — Duo Workflows API의 부적절한 인가 (GitLab EE)

GitLab은 그룹 수준에서 foundational flow가 활성화된 경우, 개발자(Developer) 역할 권한을 가진 인증된 사용자가 특정 조건에서 flow 제한을 우회할 수 있었던 문제를 수정했습니다.

  • 영향 버전: GitLab EE — 18.7 이상 18.10.7 미만, 18.11 이상 18.11.4 미만, 19.0 이상 19.0.1 미만의 모든 버전
  • CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)

CVE-2026-2601 — Operations의 인가 누락 (GitLab EE)

GitLab은 특정 조건에서 부적절한 인가 검사로 인해 개발자(Developer) 역할 권한을 가진 인증된 사용자가 프로젝트의 민감한 배포(deployment) 데이터에 접근할 수 있었던 문제를 수정했습니다.

  • 영향 버전: GitLab EE — 11.5 이상 18.10.7 미만, 18.11 이상 18.11.4 미만, 19.0 이상 19.0.1 미만의 모든 버전
  • CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

CVE-2026-8716 — Pipelines의 잘못된 이름 확인(Name Resolution) (GitLab CE/EE)

GitLab은 특정 조건에서 인증된 사용자가 의도한 것과 다른 ref 유형의 CI 데이터에 접근할 수 있었던 문제를 수정했습니다.

  • 영향 버전: GitLab CE/EE — 12.7 이상 18.10.7 미만, 18.11 이상 18.11.4 미만, 19.0 이상 19.0.1 미만의 모든 버전
  • CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

CVE-2026-2710 — 특정 인증 엔드포인트의 잘못된 인가 (GitLab CE/EE)

GitLab은 특정 조건에서 잘못된 인가 적용으로 인해 차단된(blocked) Project Access Token이 비공개 리소스에 계속 접근할 수 있었던 문제를 수정했습니다.

  • 영향 버전: GitLab CE/EE — 18.9 이상 18.10.7 미만, 18.11 이상 18.11.4 미만, 19.0 이상 19.0.1 미만의 모든 버전
  • CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)

버그 수정

19.0.1

18.11.4

18.10.7

업그레이드 시 중요 참고사항

이 버전들은 신규 마이그레이션을 포함하지 않으며, 다중 노드(multi-node) 배포의 경우 다운타임이 필요하지 않습니다. 기본적으로 Omnibus 패키지는 중지 후 마이그레이션을 실행하고 다시 시작합니다.

업그레이드 안내

GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.

원문 바로가기

더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.

Eva

Eva

Project Manager

UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.

이 저자의 글 모두 보기 →
← 이전 글GitLab 19.0 릴리즈 노트2026년 5월 22일

관련 글

GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
DevOps패치

GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9

GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.

2026년 4월 9일

GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
DevOps패치

GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7

GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.

2026년 4월 2일

GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
패치릴리즈

GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6

GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.

2026년 3월 11일

← 릴리즈 노트 목록

InfoGrab Infoletter

최신 DevOps·AI 트렌드를 매달 받아보세요