無料スキャン
HIGHCVE-2026-6073CVSS 8.7

CVE-2026-6073: XSS in GitLab 18.7 - 18.11

プラットフォーム

gitlab

コンポーネント

gitlab

修正版

18.11.3

NVDで見る
保存

CVE-2026-6073は、GitLab EEにおけるクロスサイトスクリプティング(XSS)の脆弱性です。この脆弱性は、認証されたユーザーが不適切な入力サニタイズにより、他のユーザーのブラウザで任意のJavaScriptコードを実行することを可能にします。影響を受けるバージョンは、GitLab EEの18.7より前の18.9.7、18.10より前の18.10.6、および18.11より前の18.11.3です。GitLabはすでにこの問題を修正しており、最新バージョンへのアップデートを推奨します。

影響と攻撃シナリオ

このXSS脆弱性を悪用されると、攻撃者は認証されたユーザーになりすまし、そのユーザーの権限で任意のJavaScriptコードを他のユーザーのブラウザで実行できます。これにより、攻撃者は機密情報を盗み取ったり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、GitLabインスタンスを完全に制御したりする可能性があります。攻撃者は、ユーザーのセッションCookieを盗み、他のユーザーのアカウントにアクセスする可能性があります。また、この脆弱性は、GitLabインスタンス全体に影響を及ぼす可能性があり、広範囲なデータ漏洩やシステム侵害につながる可能性があります。

悪用の状況

CVE-2026-6073は、2026年5月14日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。この脆弱性は、GitLabのセキュリティチームによって積極的に追跡されており、パッチが迅速にリリースされました。公開されているPoCは確認されていません。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

CISA SSVC

悪用状況none
自動化可能no
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N8.7HIGHAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredLow攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
低 — 有効なユーザーアカウントがあれば十分。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントgitlab
ベンダーGitLab
最小バージョン18.7.0
最大バージョン18.11.3
修正版18.11.3

弱点分類 (CWE)

CWE-79

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への最も効果的な対策は、GitLab EEを18.11.3以降のバージョンにアップデートすることです。アップデートが利用できない場合、またはアップデートがシステムに影響を与える可能性がある場合は、入力検証を強化し、出力エンコーディングを適切に適用することで、攻撃のリスクを軽減できます。Webアプリケーションファイアウォール(WAF)を使用して、XSS攻撃をブロックすることも有効です。また、GitLabの監査ログを監視し、不審なアクティビティを検出することも重要です。アップデート後、GitLabのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice GitLab a la versión 18.9.7 o superior, 18.10.6 o superior, o 18.11.3 o superior para mitigar la vulnerabilidad de Cross-Site Scripting (XSS).  Esta actualización corrige la falta de sanitización adecuada de la entrada del usuario, previniendo la ejecución de código JavaScript malicioso en el navegador de otros usuarios. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.

よくある質問

CVE-2026-6073 — XSS in GitLabとは何ですか?

CVE-2026-6073は、GitLab EEにおけるクロスサイトスクリプティング(XSS)の脆弱性です。認証されたユーザーが他のユーザーのブラウザでJavaScriptを実行できる可能性があります。

CVE-2026-6073 in GitLabで影響を受けますか?

GitLab EEのバージョンが18.7.0–18.11.3の場合、影響を受けます。18.9.7より前の18.7、18.10.6より前の18.10、18.11.3より前の18.11も影響を受けます。

CVE-2026-6073 in GitLabを修正するにはどうすればよいですか?

GitLab EEを18.11.3以降のバージョンにアップデートしてください。アップデートが難しい場合は、入力検証の強化やWAFの導入を検討してください。

CVE-2026-6073は積極的に悪用されていますか?

現時点では、具体的な悪用事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2026-6073に関するGitLabの公式アドバイザリはどこで入手できますか?

GitLabのセキュリティアドバイザリページで確認できます。https://about.gitlab.com/security/

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...