보안 업데이트 · 1 min read · Jan 16, 2026

GitLab, 높은 심각도의 계정 탈취 취약점 수정

GitLab, 인기 있는 온라인 DevOps 플랫폼,는 인증되지 않은 공격자가 교차 사이트 스크립팅(XSS) 공격을 통해 계정을 탈취할 수 있는 여러 가지 심각한 취약점을 해결하기 위해 커뮤니티 에디션(CE)과 엔터프라이즈 에디션(EE) 모두에 대한 긴급 보안 업데이트를 발표했습니다.

높은 심각도의 계정 탈취 취약점

가장 심각한 취약점인 CVE-2024-4835(CVSS 8.0)는 gitlab.com의 VS 코드 편집기(Web IDE)에서 발생하는 XSS 취약점으로, 공격자가 악성 페이지를 제작하여 민감한 사용자 정보를 유출할 수 있게 하여, 궁극적으로 계정 탈취로 이어질 수 있습니다.

성공적인 악용은 인증을 요구하지 않지만, 사용자 상호작용이 필요하여 공격의 복잡성을 증가시킵니다.

보안 연구원 matanber는 이 문제를 발견하고 HackerOne 버그 바운티 플랫폼을 통해 GitLab에 보고했습니다. 이 문제는 2024년 5월 22일에 패치되었으며, 버전 17.0.1, 16.11.3 및 16.10.6에서 수정되었습니다.

“오늘 우리는 GitLab 커뮤니티 에디션(CE) 및 엔터프라이즈 에디션(EE)을 위한 버전 17.0.1, 16.11.3 및 16.10.6을 출시하고 있습니다.”라고 GitLab은 수요일 보안 보도자료에서 밝혔습니다.

“이 버전들은 중요한 버그 및 보안 수정 사항을 포함하고 있으며, 모든 GitLab 설치가 즉시 이러한 버전 중 하나로 업그레이드될 것을 강력히 권장합니다.”

추가 중간 심각도 취약점 수정

위의 취약점 외에도, 회사는 GitLab CE/EE에서 다음의 여섯 가지 중간 심각도의 보안 결함을 수정했습니다:

  • CVE-2024-2874: 이 서비스 거부(DoS) 취약점은 러너의 ‘설명’ 필드에서 발생하며, 버전 16.10.6까지의 모든 GitLab CE/EE, 버전 16.11까지의 16.11.3, 그리고 17.0까지의 17.0.1에 영향을 미칩니다. 조작된 설명으로 등록된 러너는 대상 GitLab 웹 리소스의 로딩을 방해할 수 있습니다.

  • CVE-2023-7045: 이 취약점을 이용하여 공격자는 Kubernetes Agent Server(KAS)를 통해 anti-CSRF(교차 사이트 요청 위조) 토큰을 유출할 수 있습니다. 이 CSRF 취약점은 GitLab CE/EE에서 버전 16.3부터 16.10.6까지, 16.11부터 16.11.3까지, 그리고 17.0부터 17.0.1까지 존재합니다.

  • CVE-2023-6502: 이 취약점은 공격자가 조작된 위키 페이지를 사용하여 DoS를 발생시킬 수 있게 합니다. 이 DoS 조건은 GitLab CE/EE에서 버전 16.10.6 이전의 모든 버전, 16.11의 16.11.3 이전, 그리고 17.0의 17.0.1 이전에서 발견되었습니다.

  • CVE-2024-1947: 이 취약점을 이용하여 공격자는 조작된 API 호출을 전송하여 DoS 조건을 생성할 수 있습니다. 이 DoS 조건은 GitLab CE/EE에서 버전 13.2.4부터 16.10.6까지, 16.11부터 16.11.3까지, 그리고 17.0부터 17.0.1까지 영향을 미칩니다.

  • “커밋의 파이프라인 상태 설정” API에서의 권한 취약점은 인증된 공격자가 조작된 명명 규칙을 사용하여 파이프라인 권한 부여 논리를 우회할 수 있습니다. 이는 GitLab의 버전 16.10부터 16.10.6까지, 16.11부터 16.11.3까지, 그리고 17.0부터 17.0.1까지 발견되었습니다. 이 취약점은 아직 CVE(공통 취약점 및 노출) ID가 할당되지 않았습니다.

  • 이 취약점은 아직 CVE ID가 할당되지 않았으며, 게스트 사용자가 작업 아티팩트를 통해 비공식 프로젝트의 종속성 목록을 볼 수 있게 합니다. 이는 GitLab CE/EE에서 버전 11.11부터 16.10.6 이전까지, 16.11부터 16.11.3 이전까지, 그리고 17.0부터 17.0.1 이전까지 발견되었습니다.

위에서 언급한 취약점으로부터 보호하기 위해, GitLab 사용자들은 가능한 한 빨리 최신 출시된 버전인 17.0.1, 16.11.3 및 16.10.6으로 설치를 업그레이드할 것을 강력히 권장합니다.

Share: X/Twitter LinkedIn
#보안 업데이트

새 게시물을 받은 편지함에서 받기

스팸은 없습니다. 언제든지 구독 해지 가능합니다.