HIGHCVE-2026-5173CVSS 8.5

GitLab 内の危険なメソッドまたは関数が公開されている

プラットフォーム

gitlab

コンポーネント

gitlab

修正版

18.8.9

18.9.5

18.10.3

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-5173 represents a security vulnerability identified in GitLab CE/EE. It allows an authenticated user to potentially invoke unintended server-side methods through websocket connections, stemming from improper access controls. This issue impacts GitLab versions from 16.9.6 before 18.8.9, 18.9 before 18.9.5, and 18.10 before 18.10.3. A fix is available in version 18.10.3.

影響と攻撃シナリオ

CVE-2026-5173 は、GitLab CE/EE の 16.9.6 から 18.8.9、18.9 の 18.9.5 より前、および 18.10 の 18.10.3 より前のバージョンに影響します。この脆弱性により、認証されたユーザーは、不適切なアクセス制御により、WebSocket 接続を介して意図しないサーバー側のメソッドを呼び出すことができます。悪意のある攻撃者は、この欠陥を利用して GitLab 内で不正なアクションを実行し、データの整合性と機密性を損なう可能性があります。この脆弱性の重大度は CVSS スケールで 8.5 と評価されており、重大なリスクを示しています。このリスクを軽減するために、セキュリティアップデートを適用することが不可欠です。

悪用の状況

この脆弱性は、クライアントとサーバー間のリアルタイム通信を可能にする双方向通信プロトコルである WebSocket 接続を介して悪用されます。認証されたユーザーは、WebSocket リクエストを操作して、通常は利用できないサーバー側のメソッドを呼び出す可能性があります。この悪用の影響は、認証されたユーザーの権限と、呼び出されたサーバー側のメソッドの機能によって異なります。悪用が成功すると、データ変更、任意のコード実行、または機密情報の不正アクセスが発生する可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgitlab

ベンダーGitLab

影響範囲修正版

16.9.6 – 18.8.918.8.9

18.9 – 18.9.518.9.5

18.10 – 18.10.318.10.3

弱点分類 (CWE)

CWE-749

タイムライン

予約済み2026-03-30
公開日2026-04-08
更新日2026-04-09
EPSS 更新日2026-04-16

緩和策と回避策

CVE-2026-5173 の解決策は、GitLab バージョン 18.10.3 以降、18.9.5 以降、または 18.8.9 以降にアップグレードすることです。GitLab は、このアクセス制御の欠陥を修正するためにこれらのアップデートをリリースしました。GitLab 管理者は、潜在的な攻撃から GitLab インスタンスを保護するために、これらのアップデートをできるだけ早く適用することを強くお勧めします。さらに、GitLab 内のアクセス許可と権限のポリシーを確認して、ユーザーがアクセスする必要のあるリソースのみにアクセスできるようにします。潜在的なエクスプロイトの試みが示唆される可能性のある、GitLab ログの異常なアクティビティを監視します。

修正方法翻訳中…

Actualice GitLab a la versión 18.10.3 o posterior, 18.9.5 o posterior, o 18.8.10 o posterior para mitigar la vulnerabilidad.  Esta actualización corrige una falla de control de acceso que permitía a usuarios autenticados invocar métodos del lado del servidor no deseados a través de conexiones WebSocket. Consulte las notas de la versión para obtener más detalles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5173 とは何ですか？（GitLab）

影響を受けるバージョンは、GitLab CE/EE の 16.9.6 から 18.8.9、18.9 の 18.9.5 より前、および 18.10 の 18.10.3 より前です。

GitLab の CVE-2026-5173 による影響を受けていますか？

GitLab インスタンスのバージョンを確認し、リストされている脆弱なバージョンと比較してください。また、GitLab のリリースノートを参照して、この脆弱性に関する情報を確認することもできます。

GitLab の CVE-2026-5173 を修正するにはどうすればよいですか？

すぐにアップグレードできない場合は、WebSocket 接続へのアクセスを制限したり、GitLab ログの異常なアクティビティを監視したりするなど、一時的な軽減策を実装することを検討してください。

CVE-2026-5173 は積極的に悪用されていますか？

いくつかの脆弱性スキャンツールは、この脆弱性を検出できます。詳細については、スキャンツールのドキュメントを参照してください。

CVE-2026-5173 に関する GitLab の公式アドバイザリはどこで確認できますか？

この脆弱性に関する詳細情報は、GitLab セキュリティアドバイザリで確認できます: [GitLab セキュリティアドバイザリへのリンク]