무슨 일이 있었나
버전 19.1.1, 19.0.3 및 18.11.6 이전의 GitLab Enterprise Edition은 Duo Workflows AI 기능에서 높은 심각도의 정보 공개 취약점을 포함합니다. Duo Workflows 구성요소의 불충분한 출력 필터링은 인증된 사용자가 GitLab 프로젝트에 이미 커밋된 소스 코드를 포함한 민감한 데이터에 액세스할 수 있도록 허용할 수 있습니다. 결함은 2026년 6월 24일에 패치되었으며 CVSS 7.7 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N)을 받았습니다.
왜 중요한가
Duo Workflows는 리포지토리 콘텐츠에 대한 심층 액세스 권한이 있는 GitLab의 AI 기반 코딩 어시스턴트입니다. AI 기능의 권한 혼동 출력 필터는 프로젝트에 커밋된 소스 코드, 시크릿 또는 구성 데이터를 자동으로 유출할 수 있으며, AI 어시스턴트 자체를 유출 채널로 전환합니다. 개발자 수준 이상의 권한을 가진 모든 GitLab EE 사용자는 의도된 범위를 벗어난 데이터에 액세스할 수 있습니다.
공격 경로
개발자 역할 권한을 가진 인증된 공격자가 Duo Workflows AI 기능과 상호작용합니다. 불충분한 출력 필터링으로 인해 프로젝트에서 커밋된 민감한 데이터가 노출됩니다.
영향받는 시스템
GitLab EE 19.1 (19.1.1 이전); GitLab EE 19.0 (19.0.3 이전); GitLab EE 18.11 (18.11.6 이전)
완화 방안
GitLab EE 19.1.1, 19.0.3 또는 18.11.6으로 업그레이드하십시오. 공지: https://docs.gitlab.com/releases/patches/patch-release-gitlab-19-1-1-released/