つみかさね

CVE-2026-6073

High(8.7)

GitLab EEの認証済みユーザーによるクロスサイトスクリプティング CVE-2026-6073:影響範囲と対応方法

公開日: 2026-05-17データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GitLab EEGitLab Inc.18.7.0〜18.9.7未満、18.10.0〜18.10.6未満、18.11.0〜18.11.3未満

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1GitLab EE のバージョンを確認し、影響を受けるバージョン範囲か確認する
  2. 2GitLab 18.11.3、18.10.6、または 18.9.7 以降へアップデートを計画・実施する
  3. 3アップデートまでの間は、信頼できないユーザーのアクセスを制限することを検討する

影響対象

GitLab EEセルフホスト利用者(18.7〜18.11.2)

補足

  • -GitLab.com(SaaS)はすでに修正済みです
  • -セルフホスト環境のみが対象です
CVEGitLabXSSHigh

概要

GitLab EE に入力サニタイズ不備によるクロスサイトスクリプティング(XSS)の脆弱性が存在します(CWE-79)。認証済みユーザーが悪意のあるコンテンツを送信することで、他のユーザーのブラウザで任意の JavaScript を実行させることが可能です。

同日公開の CVE-2026-7377 はカスタマイズ可能なアナリティクスダッシュボード機能における同様の問題で、同じリリースで修正されています。

GitLab はソースコードとCI/CDパイプラインを管理する重要なシステムであるため、認証済みユーザーによるXSSは機密情報へのアクセスやパイプラインの操作につながる可能性があります。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredLow
User InteractionRequired
ScopeChanged
ConfidentialityHigh
IntegrityHigh
AvailabilityLow

影響を受けるソフトウェア

製品ベンダー影響を受けるバージョン
GitLab EEGitLab Inc.18.7.0〜18.9.7未満
GitLab EEGitLab Inc.18.10.0〜18.10.6未満
GitLab EEGitLab Inc.18.11.0〜18.11.3未満

GitLab Community Edition(CE)への影響については公式アドバイザリを確認してください。

修正バージョンと回避策

修正バージョン:

  • GitLab EE 18.11.3 以降
  • GitLab EE 18.10.6 以降
  • GitLab EE 18.9.7 以降

推奨対応:

  1. GitLab の現在のバージョンを確認する
  2. 上記の修正バージョンのいずれかへアップデートを実施する
  3. セルフホスト GitLab の場合は、GitLab 公式のアップグレード手順に従う

関連リンク

データソース: NVD (NIST), GitLab Security Advisory
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-7377GitLab EE アナリティクスダッシュボード XSSCVSS 8.7

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-6073
GitLab:https://about.gitlab.com/releases/2026/05/13/patch-release-gitlab-18-11-3-released/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。