GitLab 보안 패치 릴리즈 19.1.2, 19.0.4, 18.11.7

오늘 GitLab Community Edition(CE)과 Enterprise Edition(EE)에 대해 19.1.2, 19.0.4, 18.11.7 버전이 출시되었습니다. 이 버전들은 8건의 보안 수정 사항과 함께 버그 수정 사항을 포함하고 있으므로, 모든 셀프 관리형 GitLab 인스턴스는 즉시 이 중 하나의 버전으로 업그레이드하시길 강력히 권장합니다. GitLab.com은 이미 보안 패치가 적용된 버전을 사용 중이며, GitLab Dedicated 고객은 별도의 조치가 필요하지 않습니다. GitLab은 패치 릴리즈를 통해 취약점에 대한 수정사항을 제공합니다. 패치 릴리즈는 정기 릴리즈와 심각도가 높은 취약점에 대한 긴급 릴리즈, 이렇게 두 가지 유형이 있습니다. 정기 릴리즈는 매월 둘째, 넷째 수요일에 배포됩니다. 자세한 내용은 릴리즈 핸드북과 보안 FAQ에서 확인하실 수 있습니다. 모든 GitLab 릴리즈 블로그 게시글은 여기에서 볼 수 있습니다.
보안 수정 사항의 경우, 각 취약점에 대한 상세 이슈는 패치가 적용된 릴리즈 이후 30일이 지나면 이슈 트래커를 통해 공개됩니다. GitLab은 고객에게 노출되거나 고객 데이터를 저장하는 모든 측면이 최고 수준의 보안 기준을 충족하도록 최선을 다하고 있습니다. 보안 수준을 유지하기 위해, 모든 고객이 지원되는 최신 패치 릴리즈로 업그레이드하는 것을 강력히 권장합니다.
권장 조치
아래 설명된 문제의 영향을 받는 버전을 실행 중인 모든 설치를 가능한 한 빨리 최신 버전으로 업그레이드할 것을 강력히 권장합니다. 제품의 특정 배포 유형(omnibus, 소스 코드, helm 차트 등)이 명시되지 않은 경우, 모든 유형이 영향을 받는다는 것을 의미합니다.
보안 취약점
이번 릴리즈에서 수정된 보안 취약점 목록입니다. (총 8건)
| CVE | 제목 | 심각도 | CVSS |
|---|---|---|---|
| CVE-2026-6896 | 취약점 증거 테이블 렌더러(Vulnerability Evidence Table Renderer)의 크로스 사이트 스크립팅(XSS) 문제가 GitLab EE에 영향 | 높음 | 8.7 |
| CVE-2026-13320 | 위키 마크업 렌더링(Wiki Markup Rendering)의 HTML 인젝션 문제가 GitLab CE/EE에 영향 | 높음 | 7.3 |
| CVE-2026-11827 | 리포지토리 미러링(Repository Mirroring)의 불충분하게 보호된 자격 증명(Insufficiently Protected Credentials) 문제가 GitLab EE에 영향 | 중간 | 4.9 |
| CVE-2026-8472 | 작업 항목(Work Items)의 부적절한 접근 제어 문제가 GitLab EE에 영향 | 중간 | 4.3 |
| CVE-2026-7492 | 커밋 논의 표시(Commit Discussion Display)의 인가 누락 문제가 GitLab CE/EE에 영향 | 중간 | 4.3 |
| CVE-2025-12506 | 태그 또는 브랜치의 모호한 참조(Ambiguity Reference) 문제가 GitLab CE/EE에 영향 | 낮음 | 3.5 |
| CVE-2026-13151 | 그룹 수준 설정(Group-level Settings)의 잘못된 인가 문제가 GitLab EE에 영향 | 낮음 | 2.7 |
| CVE-2026-6352 | 컴플라이언스 위반 관리(Compliance Violation Management)의 잘못된 인가 문제가 GitLab EE에 영향 | 낮음 | 2.7 |
CVE-2026-6896 — 취약점 증거 테이블 렌더러 XSS (GitLab EE)
특정 조건에서 취약점 증거 테이블 렌더러의 사용자 입력값에 대한 부적절한 정제(sanitization)로 인해, 낮은 권한을 가진 인증된 사용자가 다른 사용자의 세션 컨텍스트에서 임의의 클라이언트 측 코드를 실행할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-6896
- 영향 버전 (GitLab EE): 13.11 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 8.7 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N)
CVE-2026-13320 — 위키 마크업 렌더링 HTML 인젝션 (GitLab CE/EE)
특정 조건에서 위키 마크업 렌더링의 불충분한 정제(sanitization)로 인해, 인증된 사용자가 위키 콘텐츠에 임의의 HTML을 주입할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-13320
- 영향 버전 (GitLab CE/EE): 15.7 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 7.3 (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N)
CVE-2026-11827 — 리포지토리 미러링 자격 증명 노출 (GitLab EE)
특정 조건에서 리포지토리 미러링의 자격 증명이 불충분하게 보호되어, 높은 권한을 가진 인증된 사용자가 보호되어야 할 자격 증명에 접근할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-11827
- 영향 버전 (GitLab EE): 9.5 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 4.9 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N)
- 제보: HackerOne 버그 바운티 프로그램을 통해 rogerace 님이 제보
CVE-2026-8472 — 작업 항목 부적절한 접근 제어 (GitLab EE)
특정 조건에서 작업 항목(Work Items)의 부적절한 접근 제어로 인해, 낮은 권한을 가진 인증된 사용자가 접근 권한이 없는 정보에 접근할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-8472
- 영향 버전 (GitLab EE): 18.9 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
CVE-2026-7492 — 커밋 논의 표시 인가 누락 (GitLab CE/EE)
특정 조건에서 커밋 논의 표시의 인가 검사 누락으로 인해, 낮은 권한을 가진 인증된 사용자가 접근 권한이 없는 커밋 논의 정보를 볼 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-7492
- 영향 버전 (GitLab CE/EE): 9.1 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 4.3 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
CVE-2025-12506 — 태그 또는 브랜치의 모호한 참조 (GitLab CE/EE)
특정 조건에서 태그 또는 브랜치 참조의 모호성으로 인해, 낮은 권한을 가진 인증된 사용자가 사용자를 오도하여 의도하지 않은 참조를 대상으로 동작을 수행하도록 유도할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2025-12506
- 영향 버전 (GitLab CE/EE): 16.5 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 3.5 (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N)
- 제보: HackerOne 버그 바운티 프로그램을 통해 shells3c 님이 제보
CVE-2026-13151 — 그룹 수준 설정 잘못된 인가 (GitLab EE)
특정 조건에서 그룹 수준 설정의 잘못된 인가로 인해, 높은 권한을 가진 인증된 사용자가 인가되지 않은 그룹 수준 설정을 변경할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-13151
- 영향 버전 (GitLab EE): 16.10 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 2.7 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N)
CVE-2026-6352 — 컴플라이언스 위반 관리 잘못된 인가 (GitLab EE)
특정 조건에서 컴플라이언스 위반 관리의 잘못된 인가로 인해, 높은 권한을 가진 인증된 사용자가 인가되지 않은 컴플라이언스 위반 데이터를 조작할 수 있었던 문제를 수정했습니다.
- CVE: CVE-2026-6352
- 영향 버전 (GitLab EE): 18.2 이상 18.11.7 미만, 19.0 이상 19.0.4 미만, 19.1 이상 19.1.2 미만
- CVSS: 2.7 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N)
버그 수정
19.1.2
- OAuth 애플리케이션 등록 시 organization_id 설정 (19.1 백포트)
- Go를 1.25.11로 업그레이드
- 레거시 레지스트리 경로의 멀티 아키텍처 태그 500 오류 수정 백포트 (19.1)
- 외부 에이전트 플로우에서 커밋 작성자 및 커미터 아이덴티티 사용 백포트
- ClickHouse 23.x에서 ci_finished_builds 엔진 스왑 동작 수정 백포트 (19.1)
- getDuoWorkflowEvents를 커서 페이지네이션으로 최신 체크포인트로 제한 백포트 (19.1)
- 제약 조건 검증 전 oauth_applications의 NULL organization_id 백필 백포트 (19.1)
- MR 238702 되돌리기(Revert) 백포트
- ActiveUserCountThresholdWorker cron 스케줄 제거 백포트 (19.1)
- Developer MR 작성자에 대한 승인 규칙 재정의 회귀 수정 백포트
- 즉시(eager) 설명 페치로 인한 커밋 페이지 메모리 누수 수정 백포트
- OAuth 애플리케이션 생성 시 organization_id 전달
- BUILDER_IMAGE_REVISION을 5.60.1로 추가
19.0.4
- OAuth 애플리케이션 등록 시 organization_id 설정 (19.0 백포트)
- CI_JOB_TOKEN을 통한 레지스트리 Skopeo 인증 백포트 (19-0-stable)
- Go를 1.25.11로 업그레이드
- 커밋에 대한 복합(composite) 아이덴티티 검사 추가 백포트
- 외부 에이전트 플로우에서 커밋 작성자 및 커미터 아이덴티티 사용 백포트
- 지연된 배포 후 마이그레이션에서 ci_finished_builds 엔진 스왑 수정 백포트 (19.0)
- getDuoWorkflowEvents를 커서 페이지네이션으로 최신 체크포인트로 제한 백포트 (19.0)
- 제약 조건 검증 전 oauth_applications의 NULL organization_id 백필 백포트 (19.0)
- 불안정한(flaky) user_suggests_changes_on_diff_spec 예제 격리
- 공유 예제(shared example) 수정 백포트 (19-0-stable-ee)
- 그룹 MR용 세분화된 토큰 권한 스펙의 불안정성 제거
- OAuth 애플리케이션 생성 시 organization_id 전달
- BUILDER_IMAGE_REVISION을 5.57.1로 추가
18.11.7
- 비공개 레지스트리에 대한 skopeo inspect 인증을 위한 fetch_assets 수정
- Go를 1.25.11로 업그레이드
- 지연된 배포 후 마이그레이션에서 ci_finished_builds 엔진 스왑 수정 백포트 (18.11)
- getDuoWorkflowEvents를 커서 페이지네이션으로 최신 체크포인트로 제한 백포트 (18.11)
- 불안정한(flaky) user_suggests_changes_on_diff_spec 예제 격리
- 18.11: Mattermost 보안 업데이트 2026년 6월 12일
- Mattermost 및 spamcheck 지원 중단(deprecation) 항목 추가 백포트 (18.11)
- BUILDER_IMAGE_REVISION을 5.52.1로 추가
업그레이드 시 주의사항
이 패치에는 업그레이드 과정에 영향을 줄 수 있는 데이터베이스 마이그레이션이 포함되어 있습니다.
설치 환경별 영향:
- 단일 노드 인스턴스: GitLab이 시작되기 전에 마이그레이션이 완료되어야 하므로, 이 패치는 업그레이드 중 다운타임을 유발합니다.
- 다중 노드 인스턴스: 적절한 무중단(zero-downtime) 업그레이드 절차를 따르면 다운타임 없이 적용할 수 있습니다.
배포 후 마이그레이션(Post-deploy migrations): 19.1.2 및 19.0.4에 포함되어 있으며, 업그레이드 완료 후 실행될 수 있습니다.
업그레이드 안내
GitLab을 업데이트하려면 업데이트 페이지를 참조하세요. GitLab Runner를 업데이트하려면 Runner 업데이트 페이지를 참조하세요.
더 많은 GitLab에 대한 정보와 데모가 궁금하신가요? 혹은 GitLab 업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다.
Eva
Project Manager
UI/UX 서비스 기획자로 커머스·시스템 구축·운영 등 다양한 프로젝트를 경험했습니다. 사용자 관점에서 요구사항을 빠르게 정리해 정책·IA·UX 흐름처럼 실행 가능한 구조로 설계하는 데 강점이 있습니다. 기획과 커뮤니케이션, 디자인, 개발 편식없이 일하는 잡식성 업무스타일을 가지고 있습니다.
이 저자의 글 모두 보기 →관련 글

GitLab 보안 패치 릴리즈 19.1.1, 19.0.3, 18.11.6
GitLab 19.1.1, 19.0.3 및 18.11.6 보안 패치 릴리즈는 13건의 보안 취약점을 수정하고, 각 버전별 CVE와 심각도 정보를 제공하며, 업그레이드 시 데이터베이스 마이그레이션 및 다운타임 고려사항을 안내하고, 최신 버전으로 빠른 적용을 권장합니다.

GitLab 보안 패치 릴리즈 18.10.3, 18.9.5, 18.8.9
GitLab Community Edition과 Enterprise Edition의 18.10.3, 18.9.5, 18.8.9 버전이 출시되었으며, 중요한 버그 및 보안 수정 사항이 포함되어 있습니다. 모든 사용자는 즉시 최신 버전으로 업그레이드할 것을 권장하며, GitLab.com은 이미 패치된 버전을 실행 중입니다. 보안 수정 사항에는 여러 취약점이 포함되어 있으며, 각 취약점에 대한 자세한 내용은 30일 후에 공개됩니다. 업그레이드 시 다중 노드 배포가 가능하며, 새로운 마이그레이션은 포함되어 있지 않습니다.

GitLab 보안 패치 릴리즈 18.10.1, 18.9.3, 18.8.7
GitLab Community Edition과 Enterprise Edition의 18.10.1, 18.9.3, 18.8.7 버전이 출시되었으며, 12건의 보안 수정 사항과 여러 버그 수정을 포함하고 있어 즉시 업그레이드가 권장됩니다. 주요 취약점으로는 Jira Connect의 부적절한 파라미터 처리, GLQL API의 CSRF 문제 등이 있으며, 각 취약점에 대한 상세 정보는 30일 후 공개됩니다. 업그레이드 시 데이터베이스 마이그레이션에 주의해야 하며, 다중 노드 인스턴스는 무중단 업그레이드가 가능합니다.