개요.
GitLab 제품에서 WebSocket 접근 제어 미흡으로 인해 서버 측 메서드 호출이 가능한 취약점(CVE-2026-5173)이 보고됨.
영향받는 버전.
- GitLab CE/EE 버전 16.9.6 이상 18.8.9 미만이 영향 받음.
- GitLab CE/EE 버전 18.9 이상 18.9.5 미만이 영향 받음.
- GitLab CE/EE 버전 18.10 이상 18.10.3 미만이 영향 받음.
취약점 세부사항 및 영향.
취약점은 WebSocket의 접근 제어가 불충분하여 원격에서 서버 측 메서드를 호출할 수 있는 문제임.
해당 취약점은 인증 우회나 권한 있는 동작의 비정상적 수행, 민감 정보 노출 등으로 악용될 가능성이 있음.
해결 및 패치 정보.
취약점은 GitLab 패치 릴리스에서 수정되었음.
수정된 패치 버전은 GitLab CE/EE 18.8.9, 18.9.5, 18.10.3임.
참고 자료는 GitLab의 패치 릴리스 안내 문서임.
권고.
영향을 받는 GitLab 인스턴스는 제공된 패치 버전으로 업데이트할 필요가 있음.
패치 적용 전에는 최소 권한 정책과 네트워크 제어 등 보완 조치를 검토할 필요가 있음.