つみかさね

CVE-2026-10087

High(8.7)

CVE-2026-10087 — GitLab EE Analytics Dashboard クロスサイトスクリプティング

公開日: 2026-06-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GitLab EEGitLab17.1〜18.10.7 / 18.11〜18.11.4 / 19.0〜19.0.1

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1使用中の GitLab EE のバージョンを確認する
  2. 2GitLab EE 19.0.2 / 18.11.5 / 18.10.8 以降へアップグレードする
  3. 3GitLab.com(SaaS)を利用している場合は修正済みのため対応不要

影響対象

GitLab EE セルフホスト利用者(17.1〜19.0.1)

補足

  • -セルフホスト型 GitLab EE 利用者が対象です
CVEGitLabXSSAnalyticsCWE-79

概要

GitLab EE の Analytics Dashboard における入力サニタイズの不備により、Developer ロール以上の認証済みユーザーが、特定の条件下でターゲットユーザーに代わって任意のクライアントサイドコードを実行できる可能性があります。

Developer ロールは GitLab の比較的低い権限であるため、影響範囲が広くなる可能性があります。HackerOne 経由で報告された脆弱性で、GitLab.com はすでに修正済みです。

CVSSベクトル

要素説明
Attack VectorNetworkネットワーク経由で攻撃可能
Attack ComplexityLow特別な条件不要
Privileges RequiredLowDeveloper ロール以上が必要
User InteractionRequiredターゲットユーザーの操作が必要
ScopeChanged影響範囲が変化する
ConfidentialityHighセッション情報等の漏洩リスク
IntegrityHighページコンテンツ改ざんのリスク
AvailabilityNone可用性への直接影響なし

影響を受けるソフトウェア

製品影響バージョン修正バージョン
GitLab EE17.1〜18.10.718.10.8
GitLab EE18.11〜18.11.418.11.5
GitLab EE19.0〜19.0.119.0.2

修正バージョンと回避策

修正バージョン: 上記の修正バージョンへアップグレードしてください。

回避策: Analytics Dashboard へのアクセスを信頼できるユーザーのみに制限する、または機能を無効化することで一時的なリスク軽減が可能です。

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-10087
GitLab:https://about.gitlab.com/releases/2026/06/10/patch-release-gitlab-19-0-2-released/
HackerOne:https://hackerone.com/reports/3759090
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。