GitLab 보안 패치 릴리즈 19.0.2, 18.11.5, 18.10.8
2026년 6월 10일, GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 19.0.2, 18.11.5, 18.10.8 버전이 출시되었습니다.
이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다.
GitLab은 패치 릴리즈를 통해 취약점에 대한 수정 사항을 배포합니다. 패치 릴리즈에는 두 가지 유형이 있습니다. 정기 릴리즈와 고위험 취약점에 대한 임시(ad-hoc) 긴급 패치입니다. 정기 릴리즈는 매월 둘째 주와 넷째 주 수요일, 한 달에 두 번 배포됩니다. 자세한 내용은 GitLab의 릴리즈 핸드북과 보안 FAQ를 참조하세요.
보안 수정과 관련하여, 각 취약점의 상세 내용을 담은 이슈는 패치가 적용된 릴리즈로부터 30일 후 GitLab 이슈 트래커에 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 보관하는 모든 영역을 최고 수준의 보안 표준으로 유지하기 위해 노력하고 있습니다. 좋은 보안 위생(security hygiene)을 유지하기 위해, 모든 고객은 사용 중인 지원 버전의 최신 패치 릴리즈로 업그레이드하실 것을 강력히 권장합니다.
권장 조치
아래에 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치 환경은 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다.
특정 배포 유형(omnibus, 소스 코드, helm chart 등)이 명시되지 않은 경우, 이는 모든 유형이 영향을 받음을 의미합니다.
보안 취약점
이번 릴리즈에서 수정된 보안 취약점 목록입니다.
| 제목 | 심각도 |
|---|---|
| Group SAML Identity API의 부적절한 접근 제어 (GitLab EE) | 높음(High) |
| Analytics 대시보드의 크로스 사이트 스크립팅(XSS) (GitLab EE) | 높음(High) |
| Grape API JSON 파싱 미들웨어의 서비스 거부(DoS) (GitLab CE/EE) | 높음(High) |
| 그룹 설정 필드의 HTML 인젝션 (GitLab EE) | 높음(High) |
| Group Placeholder Reassignments API의 서비스 거부(DoS) (GitLab CE/EE) | 중간(Medium) |
| Merge Requests API의 부적절한 접근 제어 (GitLab CE/EE) | 중간(Medium) |
| Gitaly 저장소 가져오기의 서버 사이드 요청 위조(SSRF) (GitLab CE/EE) | 중간(Medium) |
| CI/CD Catalog의 HTML 인젝션 (GitLab CE/EE) | 중간(Medium) |
| Security Inventory의 부적절한 접근 제어 (GitLab EE) | 중간(Medium) |
| Merge Request Diff의 인가 우회 (GitLab CE/EE) | 낮음(Low) |
| Todos API의 부적절한 접근 제어 (GitLab CE/EE) | 낮음(Low) |
| Service Desk 이메일 템플릿의 부적절한 무력화 (GitLab CE/EE) | 낮음(Low) |
CVE-2026-6552 — Group SAML Identity API의 부적절한 접근 제어 (GitLab EE)
GitLab은 그룹 Owner 역할 권한을 가진 인증된 사용자가 특정 조건에서 다른 그룹 멤버의 GitLab 계정을 탈취할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-6552
- 영향 버전: GitLab EE — 15.5 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 8.7 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N)
CVE-2026-10087 — Analytics 대시보드의 크로스 사이트 스크립팅(XSS) (GitLab EE)
GitLab은 개발자(Developer) 역할 권한을 가진 인증된 사용자가 특정 조건에서 임의의 클라이언트 사이드 코드를 실행할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-10087
- 영향 버전: GitLab EE — 17.1 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)
CVE-2026-7250 — Grape API JSON 파싱 미들웨어의 서비스 거부(DoS) (GitLab CE/EE)
GitLab은 부적절한 입력 검증으로 인해 인증되지 않은 사용자가 서비스 거부(DoS)를 유발할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-7250
- 영향 버전: GitLab CE/EE — 12.10 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 7.5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
CVE-2026-8589 — 그룹 설정 필드의 HTML 인젝션 (GitLab EE)
GitLab은 인증된 사용자가 특정 조건에서 대상 사용자 계정에 인가되지 않은 이메일 주소를 추가할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-8589
- 영향 버전: GitLab EE — 13.1.4 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 7.3 (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N)
CVE-2026-1500 — Group Placeholder Reassignments API의 서비스 거부(DoS) (GitLab CE/EE)
GitLab은 통제되지 않은 리소스 소비로 인해 인증된 사용자가 서비스 거부(DoS)를 유발할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-1500
- 영향 버전: GitLab CE/EE — 17.10 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 6.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
CVE-2026-6269 — Merge Requests API의 부적절한 접근 제어 (GitLab CE/EE)
GitLab은 개발자(Developer) 역할 권한을 가진 인증된 사용자가 특정 조건에서 숨겨진(hidden) 머지 요청을 수정할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-6269
- 영향 버전: GitLab CE/EE — 15.10 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)
- HackerOne 버그 바운티 프로그램을 통해 제보해 주신 rogerace 님께 감사드립니다.
CVE-2026-9204 — Gitaly 저장소 가져오기의 서버 사이드 요청 위조(SSRF) (GitLab CE/EE)
GitLab은 인증된 사용자가 특정 조건에서 Gitaly 서버의 임의 파일을 읽을 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-9204
- 영향 버전: GitLab CE/EE — 18.10 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 5.3 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N)
- HackerOne 버그 바운티 프로그램을 통해 제보해 주신 AndresAIFR 님께 감사드립니다.
CVE-2026-10733 — CI/CD Catalog의 HTML 인젝션 (GitLab CE/EE)
GitLab은 인증된 사용자가 특정 조건에서 CI/CD Catalog 페이지에 서비스 거부(DoS)를 유발할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-10733
- 영향 버전: GitLab CE/EE — 17.0 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L)
- 이 취약점은 GitLab 팀에 의해 내부적으로 발견되었습니다.
CVE-2026-6277 — Security Inventory의 부적절한 접근 제어 (GitLab EE)
GitLab은 Security Manager 역할 권한을 가진 인증된 사용자가 특정 조건에서 프로젝트 보안 구성을 관리할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-6277
- 영향 버전: GitLab EE — 13.9 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)
CVE-2026-6976 — Merge Request Diff의 인가 우회 (GitLab CE/EE)
GitLab은 개발자(Developer) 역할 권한을 가진 인증된 사용자가 특정 조건에서 머지 요청 diff 뷰에서 변경 사항을 숨길 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-6976
- 영향 버전: GitLab CE/EE — 15.9 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 3.7 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N)
CVE-2026-3553 — Todos API의 부적절한 접근 제어 (GitLab CE/EE)
GitLab은 잘못된 인가 검사로 인해 인증된 사용자가 특정 조건에서 비공개(confidential) 이슈의 세부 정보에 접근할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-3553
- 영향 버전: GitLab CE/EE — 12.0 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 3.1 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N)
CVE-2026-9694 — Service Desk 이메일 템플릿의 부적절한 무력화 (GitLab CE/EE)
GitLab은 인증되지 않은 사용자가 특정 조건에서 GitLab Support Bot을 사칭(impersonate)하고 임의의 콘텐츠를 주입할 수 있었던 문제를 수정했습니다.
- CVE 상세 정보: CVE-2026-9694
- 영향 버전: GitLab CE/EE — 15.9 이상 18.10.8 미만, 18.11 이상 18.11.5 미만, 19.0 이상 19.0.2 미만의 모든 버전
- CVSS 2.6 (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N)
버그 수정
19.0.2
- 누락된 인덱스에 대한 deployment bigint swap 패치 백포트
- VERSION 파일 업데이트
- 'Geo: OCI 이미지 인덱스에 대한 컨테이너 저장소 동기화 수정' 백포트
- 'Premium 그룹의 MCP tools 체크박스 가시성 수정' 백포트
- '비root 이미지 호환성을 위해 SANDBOX_SYSTEM_DIR을 /var/tmp로 이동' 백포트
- 'uploads.id가 올바른 기본값을 갖도록 보장' 19-0-stable-ee 백포트
- 'Session cancel 수정 - 브라우저 요청에 대해 DuoApiAuthenticator 검사 우회' 백포트
- 'ruby-jwt를 2.10.3으로 업데이트' 19.0 백포트
- 'DiscussionsDiff::HighlightCache의 safe_parse에서 JSON::ParserError 이스케이프 수정' 백포트
- 'change_position이 올바른 형식이 아닐 때 false 반환' 백포트
- '자체 호스팅 게이트웨이에서 SaaS 모델을 표시하던 agentic chat 모델 선택기 수정' 백포트
- Rails Gems 업데이트: 'update-activestorage2' 브랜치를 19-0-stable-ee로 백포트
- '유료 라이선스가 있을 때 ultimate_only 에이전트 표시' 19.0 백포트
- composite identity SA가 SAML 멤버십 잠금을 우회하도록 허용 백포트
- 'generic 패키지 업로드에 job token basic auth 허용' 19.0 백포트
- '코드 리뷰 컨텍스트에서 유효하지 않은 커스텀 지침 제외' 백포트
- 의존성 oj를 v3.17.3으로 업데이트
- '관리자가 작업별 CI 캐시 한도를 구성할 수 있도록 변경' 백포트
- 19-0 Stable Container Registry를 v4.40.1-gitlab으로 업데이트
- 19.0 백포트: maxretries가 구성된 경우 deprecated registry threshold를 설정하지 않도록 수정
- Golang 1.25.9 업그레이드를 19-0으로 백포트
18.11.5
- 누락된 인덱스에 대한 deployment bigint swap 패치 백포트
- 백포트: praefect: 구성 가능한 health check ping 타임아웃 옵션 추가
- VirtualRegistries RedirectHandler의 DNS 리바인딩 보호 강화
- 'Geo: OCI 이미지 인덱스에 대한 컨테이너 저장소 동기화 수정' 백포트
- 'Premium 그룹의 MCP tools 체크박스 가시성 수정' 백포트
- 'uploads.id가 올바른 기본값을 갖도록 보장' 18-11-stable-ee 백포트
- 'DiscussionsDiff::HighlightCache의 safe_parse에서 JSON::ParserError 이스케이프 수정' 백포트
- 'ruby-jwt를 2.10.3으로 업데이트' 18.11 백포트
- 'change_position이 올바른 형식이 아닐 때 false 반환' 백포트
- '자체 호스팅 게이트웨이에서 SaaS 모델을 표시하던 agentic chat 모델 선택기 수정' 백포트
- '포크(forking) 전에 MR 생성 여부 확인' 백포트
- Rails Gems 업데이트: 'update-activestorage2' 브랜치를 18-11-stable-ee로 백포트
- '유료 라이선스가 있을 때 ultimate_only 에이전트 표시' 18.11 백포트
- '관리자가 작업별 CI 캐시 한도를 구성할 수 있도록 변경' 백포트
- 의존성 oj를 v3.17.3으로 업데이트
- 18.11: Mattermost 보안 업데이트 (2026년 5월 27일)
- 18.11 백포트: maxretries가 구성된 경우 deprecated registry threshold를 설정하지 않도록 수정
- Ubuntu 22.04 FIPS를 18.11로 백포트
18.10.8
- 승인(approval) 업데이트 시 사용자 정의가 아닌 규칙 필터링
- 'Geo: OCI 이미지 인덱스에 대한 컨테이너 저장소 동기화 수정' 백포트
- 'Premium 그룹의 MCP tools 체크박스 가시성 수정' 백포트
- 'ruby-jwt를 2.10.3으로 업데이트' 18.10 백포트
- 'DiscussionsDiff::HighlightCache의 safe_parse에서 JSON::ParserError 이스케이프 수정' 백포트
- 'change_position이 올바른 형식이 아닐 때 false 반환' 백포트
- Rails Gems 업데이트: 'update-activestorage2' 브랜치를 18-10-stable-ee로 백포트
- 'generic 패키지 업로드에 job token basic auth 허용' 18.10 백포트
- 의존성 oj를 v3.17.3으로 업데이트
- '관리자가 작업별 CI 캐시 한도를 구성할 수 있도록 변경' 백포트
- 'jk/update-test-certificates' 브랜치를 master로 병합 (GitLab Pages)
- 18.10: Mattermost 보안 업데이트 (2026년 5월 21일)
- 18.10: Mattermost 보안 업데이트 (2026년 5월 27일)
- 18.10 백포트: maxretries가 구성된 경우 deprecated registry threshold를 설정하지 않도록 수정
업그레이드 시 중요 참고사항
이 패치는 업그레이드 과정에 영향을 줄 수 있는 데이터베이스 마이그레이션을 포함하고 있습니다.
- 단일 노드(Single-Node) 인스턴스: 마이그레이션이 완료되어야 GitLab을 시작할 수 있으므로, 이 패치는 업그레이드 중 다운타임을 유발합니다.
- 다중 노드(Multi-Node) 인스턴스: 적절한 무중단(zero-downtime) 업그레이드 절차를 따르면 다운타임 없이 패치를 적용할 수 있습니다.
- 포스트 디플로이 마이그레이션(Post-Deploy Migrations): 19.0.2 및 18.11.5 버전은 업그레이드 완료 후 실행되는 포스트 디플로이 마이그레이션을 포함합니다.
업그레이드 안내
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글
GitLab 보안 패치 릴리즈 19.0.1, 18.11.4, 18.10.7
GitLab 19.0.1, 18.11.4, 18.10.7 보안 패치 릴리즈는 여러 심각도 높은 취약점을 수정하고, 각 버전의 버그와 보안 개선 사항을 포함하며, 즉시 업그레이드와 최신 패치 적용을 권장합니다.
GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.
GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.