CVE-2026-1092は、GitLab CE/EEにおけるサービス拒否(DoS)脆弱性です。この脆弱性は、認証されていないユーザーが不正なJSONペイロードを送信することで、GitLabインスタンスをダウンさせる可能性があります。影響を受けるバージョンはGitLab 12.10から18.10.3までの範囲です。GitLabはすでにこの問題を修正し、バージョン18.10.3以降で対応しています。
この脆弱性を悪用されると、攻撃者はGitLabインスタンスに対してDoS攻撃を実行し、サービスを停止させることができます。これにより、ユーザーはGitLabのリポジトリやその他の機能にアクセスできなくなり、ビジネスに重大な影響を与える可能性があります。攻撃者は、大量の不正なJSONペイロードを送信することで、サーバーリソースを枯渇させ、サービスを停止させることが可能です。この攻撃は、GitLabの可用性と機密性に影響を及ぼす可能性があります。
この脆弱性は、2026年4月8日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている情報に基づき、攻撃者がこの脆弱性を悪用する可能性は否定できません。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていません。
エクスプロイト状況
EPSS
0.04% (12% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずGitLabをバージョン18.10.3以降にアップデートすることを強く推奨します。アップデートできない場合は、入力検証を強化するカスタムWAFルールを実装することを検討してください。JSONペイロードのサイズ制限や、特定の不正なパターンを検出するルールを適用することで、攻撃のリスクを軽減できます。また、GitLabのログを監視し、異常なアクティビティを検出するためのアラートを設定することも有効です。アップデート後、GitLabインスタンスが正常に動作していることを確認してください。
この脆弱性を軽減するために、GitLabバージョン18.8.9以降、18.9.5以降、または18.10.3以降にアップデートしてください。アップデートは、JSONペイロードにおける指定数量の誤った検証を修正し、潜在的なサービス拒否攻撃を防ぎます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-1092は、GitLab CE/EEの12.10から18.10.3のバージョンに存在する、認証されていないユーザーによるサービス拒否(DoS)攻撃を可能にする脆弱性です。不正なJSONペイロードの入力検証不備が原因です。
GitLab 12.10から18.10.3のバージョンを使用している場合は、この脆弱性の影響を受けます。速やかにバージョン18.10.3以降にアップデートしてください。
この脆弱性を修正するには、GitLabをバージョン18.10.3以降にアップデートしてください。アップデートできない場合は、WAFルールによる緩和策を検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、攻撃者が悪用する可能性は否定できません。
GitLabの公式アドバイザリは、GitLabのセキュリティアドバイザリページで確認できます。
CVSS ベクトル