요약.

GitLab CE/EE에서 GraphQL API의 사이트 간 요청 위조(CVE-2026-4922), Storybook의 크로스사이트 스크립팅(CVE-2026-5262), Web IDE asset의 경로 동등성 처리 미흡(CVE-2026-5816) 취약점이 발표되었다.
영향을 받는 제품은 여러 16.x–18.x 버전대에 해당하며 각 취약점별로 특정 버전 범위가 존재한다.
패치가 제공된 버전으로의 갱신을 통해 취약점이 해결되었다.

영향을 받는 버전 및 패치 버전.

• CVE-2026-4922 영향 버전: 17.0 이상 18.9.6 미만, 18.10 이상 18.10.4 미만, 18.11 이상 18.11.1 미만.
• CVE-2026-5262 영향 버전: 16.1 이상 18.9.6 미만, 18.10 이상 18.10.4 미만, 18.11 이상 18.11.1 미만.
• CVE-2026-5816 영향 버전: 18.10 이상 18.10.4 미만, 18.11 이상 18.11.1 미만.
• 패치된 버전 목록: 18.11.1, 18.10.4, 18.9.6 등이 취약점 패치를 포함한다.

취약점 상세 및 잠재적 영향.

• CVE-2026-4922는 GraphQL API에서 발생하는 CSRF 취약점으로서 인증된 사용자의 권한으로 비정상적 요청이 수행될 위험이 있다.
• CVE-2026-5262는 Storybook에서의 XSS 취약점으로서 공격자가 악성 스크립트를 주입하여 세션 탈취 또는 권한 상승에 악용할 수 있다.
• CVE-2026-5816은 Web IDE asset의 경로 동등성 처리 미흡으로서 경로 조작을 통해 접근 제어 우회나 잘못된 자원 제공이 발생할 수 있다.

권장 조치 및 참고.

• 해당하는 영향 버전의 GitLab 인스턴스는 패치된 버전(예: 18.11.1, 18.10.4, 18.9.6)으로 갱신해야 한다.
• 배포 환경에 맞는 패치 노트를 확인하고 테스트 후 롤아웃하는 절차가 필요하다.
• 추가 세부사항과 릴리스 노트는 GitLab 공식 패치 릴리스 문서를 참조한다.

참고: https://docs.gitlab.com/releases/patches/patch-release-gitlab-18-11-1-released/.