GitLab 보안 패치 릴리즈 19.1.1, 19.0.3, 18.11.6

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 19.1.1, 19.0.3, 18.11.6 버전이 출시되었습니다. 이 버전들은 13건의 보안 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다.
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 명시되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.
보안 취약점
이번 릴리즈에서 수정된 보안 취약점 목록입니다. (총 13건)
| CVE | 제목 | 심각도 | CVSS |
|---|---|---|---|
| CVE-2026-10086 | 분석 대시보드(Analytics Dashboard)의 크로스 사이트 스크립팅(XSS) 문제가 GitLab EE에 영향 | 높음 | 8.7 |
| CVE-2026-10712 | Web IDE 워크벤치 에셋 핸들러의 크로스 사이트 스크립팅(XSS) 문제가 GitLab CE/EE에 영향 | 높음 | 8.0 |
| CVE-2026-12053 | Duo Workflows의 정보 노출 문제가 GitLab EE에 영향 | 높음 | 7.7 |
| CVE-2026-5309 | Virtual Registry 정리 정책(Cleanup Policy) API의 인가 우회 문제가 GitLab EE에 영향 | 중간 | 5.4 |
| CVE-2026-2238 | Rapid Diffs의 부적절한 인가 문제가 GitLab CE/EE에 영향 | 중간 | 5.3 |
| CVE-2026-11379 | DAST 스캐너 및 사이트 프로필 관리의 잘못된 인가 문제가 GitLab EE에 영향 | 중간 | 5.3 |
| CVE-2026-8330 | CI/CD API의 불충분한 필터링 문제가 GitLab CE/EE에 영향 | 중간 | 4.4 |
| CVE-2026-1606 | Snippets의 부적절한 입력 검증 문제가 GitLab CE/EE에 영향 | 중간 | 4.3 |
| CVE-2026-5952 | Maven 패키지 레지스트리의 잘못된 인가 문제가 GitLab CE/EE에 영향 | 중간 | 4.3 |
| CVE-2026-5796 | 그룹 패키지(group packages) API의 부적절한 접근 제어 문제가 GitLab CE/EE에 영향 | 중간 | 4.3 |
| CVE-2026-0934 | 보호된 환경(Protected Environments) API의 부적절한 접근 제어 문제가 GitLab EE에 영향 | 낮음 | 3.8 |
| CVE-2026-3176 | 보안 대시보드(Security Dashboard)의 인가 누락 문제가 GitLab EE에 영향 | 낮음 | 3.1 |
| CVE-2026-12635 | 리포지토리 미러링(Repository Mirroring)의 서버 사이드 요청 위조(SSRF) 문제가 GitLab CE/EE에 영향 | 낮음 | 3.1 |
CVE-2026-10086 — 분석 대시보드 XSS (GitLab EE)
특정 조건에서 사용자 입력값에 대한 부적절한 정제(sanitization)로 인해, Developer 역할 권한을 가진 인증된 사용자가 다른 사용자의 세션 컨텍스트에서 임의의 클라이언트 측 코드를 실행할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-10086
- 영향 버전 (GitLab EE): 16.4 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)
CVE-2026-10712 — Web IDE 워크벤치 에셋 핸들러 XSS (GitLab CE/EE)
특정 조건에서 부적절한 경로 검증으로 인해, 인증되지 않은 사용자가 사용자 브라우저 세션에서 임의의 JavaScript를 실행할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-10712
- 영향 버전 (GitLab CE/EE): 18.10 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 8.0 (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N)
CVE-2026-12053 — Duo Workflows 정보 노출 (GitLab EE)
특정 조건에서 Duo Workflows의 불충분한 출력 필터링으로 인해, 사용자가 이미 프로젝트에 커밋된 민감 정보에 접근할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-12053
- 영향 버전 (GitLab EE): 19.1 이상 19.1.1 미만
- CVSS: 7.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)
CVE-2026-5309 — Virtual Registry 정리 정책 API 인가 우회 (GitLab EE)
특정 조건에서 인증된 사용자가 인가 없이 다른 그룹의 Virtual Registry 정리 정책 설정을 읽거나 수정할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-5309
- 영향 버전 (GitLab EE): 18.6 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 5.4 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)
CVE-2026-2238 — Rapid Diffs 부적절한 인가 (GitLab CE/EE)
특정 조건에서 부적절한 인가 검사로 인해, 인증되지 않은 사용자가 공개 프로젝트에서 비공개 이슈 참조를 볼 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-2238
- 영향 버전 (GitLab CE/EE): 17.5 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 5.3 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
CVE-2026-11379 — DAST 스캐너/사이트 프로필 관리 잘못된 인가 (GitLab EE)
특정 조건에서 DAST 사이트 프로필 관리의 잘못된 인가로 인해, Developer 역할 사용자가 DAST 사이트 프로필 시크릿을 탈취할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-11379
- 영향 버전 (GitLab EE): 13.11 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 5.3 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N)
CVE-2026-8330 — CI/CD API 불충분한 필터링 (GitLab CE/EE)
특정 조건에서 CI/CD API 엔드포인트의 불충분한 필터링으로 인해, 민감 정보가 애플리케이션 로그에 기록될 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-8330
- 영향 버전 (GitLab CE/EE): 9.3 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 4.4 (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)
CVE-2026-1606 — Snippets 부적절한 입력 검증 (GitLab CE/EE)
특정 조건에서 부적절한 입력 검증으로 인해, 인증된 사용자가 Snippet 내 콘텐츠를 은닉할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-1606
- 영향 버전 (GitLab CE/EE): 14.8 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)
CVE-2026-5952 — Maven 패키지 레지스트리 잘못된 인가 (GitLab CE/EE)
특정 조건에서 잘못된 인가 검사로 인해, Developer 역할 권한을 가진 인증된 사용자가 패키지 보호 규칙을 우회하고 보호된 Maven 패키지 메타데이터를 덮어쓸 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-5952
- 영향 버전 (GitLab CE/EE): 17.11 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N)
CVE-2026-5796 — 그룹 패키지 API 부적절한 접근 제어 (GitLab CE/EE)
특정 조건에서 그룹 패키지 기능의 잘못된 인가 검사로 인해, Reporter 수준 그룹 권한을 가진 인증된 사용자가 Package Registry가 비활성화된 프로젝트의 패키지 메타데이터를 볼 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-5796
- 영향 버전 (GitLab CE/EE): 13.6 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
CVE-2026-0934 — 보호된 환경 API 부적절한 접근 제어 (GitLab EE)
특정 조건에서 커스텀 역할 권한을 가진 인증된 사용자가, 프로젝트의 CI/CD 가시성이 비활성화되어 있음에도 보호된 환경 구성을 조회·생성·삭제할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-0934
- 영향 버전 (GitLab EE): 17.9 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 3.8 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N)
- 제보: HackerOne 버그 바운티 프로그램을 통해 vulnable 님이 제보
CVE-2026-3176 — 보안 대시보드 인가 누락 (GitLab EE)
특정 조건에서 불충분한 인가 검사로 인해, 제한된 권한을 가진 인증된 사용자가 프로젝트 정보에 접근할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-3176
- 영향 버전 (GitLab EE): 18.6 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 3.1 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N)
CVE-2026-12635 — 리포지토리 미러링 SSRF (GitLab CE/EE)
특정 조건에서 부적절한 URL 검증으로 인해, Maintainer 역할 권한을 가진 인증된 사용자가 미러 동기화를 통해 내부 네트워크 리소스로 요청을 보낼 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-12635
- 영향 버전 (GitLab CE/EE): 8.3 이상 18.11.6 미만, 19.0 이상 19.0.3 미만, 19.1 이상 19.1.1 미만
- CVSS: 3.1 (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N)
버그 수정
19.1.1
- 최종 19.1 릴리즈 노트 백포트
- Flaky N+1 REST API 스펙 수정 백포트
- [19.1] "세션 목록 항목 형식 업데이트" 병합 되돌리기(Revert) 백포트
- Duo Workflow git 강화에서
GIT_CONFIG_GLOBAL=/dev/null제거 백포트 - "잘못된 인자(argument)" 수정 백포트
- gitlab-rails 패키지에서
.agents및.claude디렉터리 제외 - [19.1] falsey
smtp_authentication값을 정규화하여 SMTP 인증 비활성화 - SLES 15.6 확장 지원을 19-1-stable에 백포트
19.0.3
- yq를 4.53.3으로 업데이트 (19-0 백포트)
- azcopy를 10.32.4로 업데이트 (19-0 백포트)
- PyOpenSSL을 25.3.0으로 업데이트하고 python-cryptography를 46.0.7로 고정 (19-0 백포트)
- 사용자 가시성 및 멤버십 기준으로 그룹 템플릿 프로젝트 필터링 백포트
- split 실패 사유를
retry:when별칭으로 처리 백포트 - 개인 프로젝트 생성이 비활성화된 경우에도 그룹으로의 URL Import 허용 (19.0 백포트)
- security_findings에 keyset 페이지네이션용 인덱스 추가 (19.0 백포트)
- Amazon Q 사용량 할당량 검사 수정 (19.0 백포트)
- 레거시 레지스트리 경로의 멀티 아키텍처 태그 500 오류 수정 (19.0 백포트)
- Users API에서 auditor의 관리자 수준 사용자 데이터 읽기 권한 복원 (19.0 백포트)
- 다중 브랜치 추적 시 UUID 보정 수정 백포트
- Embeddings 인덱싱의 nil user 오류 수정 백포트
- [19.0] "세션 목록 항목 형식 업데이트" 병합 되돌리기 백포트
- Workflows의 잘못된
safe.directory수정 백포트 - MR 페이지에서 이모지 및 노트 업데이트가 실시간 반영되지 않는 문제 수정 (19.0 백포트)
- ERB gem을 4.0.3.1로 업그레이드
- 레지스트리 데이터베이스 포트 기본값을
postgresql['port']로 설정 (19.0 백포트) - gitlab-rails 패키지에서
.agents및.claude디렉터리 제외 - [19.0] falsey
smtp_authentication값을 정규화하여 SMTP 인증 비활성화 - SLES 15.6 확장 지원을 19-0-stable에 백포트
18.11.6
- yq를 4.53.3으로 업데이트 (18-11 백포트)
- azcopy를 10.32.4로 업데이트 (18-11 백포트)
- PyOpenSSL을 25.3.0으로 업데이트하고 python-cryptography를 46.0.7로 고정 (18-11 백포트)
- issue-bot 임시 실패 허용 (18-11-stable 백포트)
- 제네릭 패키지 업로드 시 job token 기본 인증 허용 (18.11 백포트)
- devfile gem을 0.5.2로 업그레이드 (18-11-stable-ee 백포트)
- SM direct access 스펙이 403을 기대하도록 수정 (18.11 백포트)
- security_findings에 keyset 페이지네이션용 인덱스 추가 (18.11 백포트)
- Amazon Q 사용량 할당량 검사 수정 (18.11 백포트)
- 레거시 레지스트리 경로의 멀티 아키텍처 태그 500 오류 수정 (18.11 백포트)
- [18.11] "세션 목록 항목 형식 업데이트" 병합 되돌리기 백포트
- Workflows의 잘못된
safe.directory수정 백포트 - MR 페이지에서 이모지 및 노트 업데이트가 실시간 반영되지 않는 문제 수정 (18.11 백포트)
- ERB gem을 4.0.3.1로 업그레이드
- 레지스트리 데이터베이스 포트 기본값을
postgresql['port']로 설정 (18.11 백포트)
업그레이드 시 주의사항
이 패치에는 업그레이드 과정에 영향을 줄 수 있는 데이터베이스 마이그레이션이 포함되어 있습니다.
설치 환경별 영향:
- 단일 노드 인스턴스: GitLab이 시작되기 전에 마이그레이션이 완료되어야 하므로, 이 패치는 업그레이드 중 다운타임을 유발합니다.
- 다중 노드 인스턴스: 적절한 무중단(zero-downtime) 업그레이드 절차를 따르면 다운타임 없이 적용할 수 있습니다.
배포 후 마이그레이션(Post-deploy migrations): 19.0.3 및 18.11.6에 포함되어 있으며, 다중 노드 배포는 무중단 업그레이드, 단일 노드 설치는 표준 업그레이드 절차를 따릅니다.
업그레이드 안내
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글

GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.

GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.

GitLab 보안 패치 릴리즈 18.9.2, 18.8.6, 18.7.6
GitLab 18.9.2, 18.8.6, 18.7.6 버전이 출시되었으며, 14건의 보안 수정 사항과 다수의 버그 수정이 포함되어 있어 모든 셀프 관리형 인스턴스의 즉시 업그레이드를 권장합니다. 주요 보안 취약점으로는 Markdown 플레이스홀더 XSS, GraphQL API DoS, Repository 아카이브 DoS, Protected Branches API DoS 등이 있습니다.