GitLabで複数の脆弱性が公開されたことを受け、Linux管理者には迅速な更新が強く推奨されています。これには、 クロスサイトスクリプティング、認可回避、自己管理(self-managed)インスタンスにおけるサービス拒否を可能にし得る欠陥が含まれます。
最新のパッチリリースであるGitLab 18.7.1、18.6.3、18.5.5は、複数のバグ修正や依存関係の更新とあわせてこれらのセキュリティ問題に対処しており、GitLab.comにはすでに適用されています。
GitLabセキュリティ更新の概要
GitLabは、定期的な月2回のパッチリリースの一部としてセキュリティ修正を提供しているほか、重大な問題に対してはアドホックパッチ も提供しており、サポート対象ブランチでは常に最新パッチを適用するよう全顧客に推奨しています。
今回リリースされた新バージョンは、GitLab Flavored Markdown、Web IDE、Duo Workflows、AI GraphQL エンドポイント、インポート機能、Runner管理といったコア機能に影響する脆弱性を修正します。
| CVE ID | 説明 | CVSS v3.1 |
| CVE-2025-9222 | 細工されたMarkdownプレースホルダーによる保存型XSS。被害者のブラウザでスクリプト実行が可能。 | 8.7(高) |
| CVE-2025-13761 | 細工されたWebページを介して、未認証の攻撃者が認証済みユーザーのブラウザでコードを実行できるXSS。 | 8.0(高) |
| CVE-2025-13772 | 認可の欠如により、ユーザーが権限のないネームスペースからAIモデル設定へアクセス可能。 | 7.1(高) |
| CVE-2025-13781 | 認可の欠如により、インスタンス全体のAIプロバイダー設定を変更可能。 | 6.5(中) |
| CVE-2025-10569 | 認証済みユーザーが、外部API呼び出しへの細工された応答によりサービス拒否を引き起こせる。 | 6.5(中) |
| CVE-2025-11246 | アクセス制御の粒度不足により、ユーザーが無関係なプロジェクトからプロジェクトRunnerを削除できる。 | 5.4(中) |
| CVE-2025-3950 | アセットプロキシを回避するよう細工された画像により接続情報の詳細が漏えいする情報開示。 | 3.5(低) |
これらの更新は、製品タイプが明示的に除外されない限り、オムニバスパッケージ、ソースインストール、Helmチャートなど、あらゆるデプロイタイプに適用されます。つまり、ほとんどの自己管理(self-managed)環境では対応が必要です。
最も深刻な問題には、保存型および反射型のクロスサイトスクリプティングが含まれ、攻撃者がGitLabユーザーのブラウザ上で任意のJavaScript を実行できる可能性があります。
Duo WorkflowsおよびAI GraphQL ミューテーションにおける認可チェックの欠如により、低権限ユーザーが許可されたネームスペース外のAI設定へアクセスまたは変更できる可能性があります。
その他の欠陥として、インポート機能におけるサービス拒否、 GraphQL Runner更新に対するアクセス制御の粒度不足、Mermaidダイアグラムのレンダリングを通じた情報開示(機密性の高い接続情報が漏えいする可能性)などがあります。
これらの問題は総合的に、プロジェクトデータの完全性、設定詳細の機密性、影響を受けるバージョンにおけるGitLabサービスの可用性を脅かします。
GitLabは、これらの脆弱性を緩和するため、管理者全員に対し、可能な限り早急に各系列の最新パッチである18.7.1、18.6.3、または18.5.5へアップグレードするよう強く推奨しています。
シングルノードのインスタンスでは、データベース移行のためアップグレード中のダウンタイムが見込まれます。一方、マルチノード環境では、GitLabのゼロダウンタイム手順に従うことでサービス中断を回避できます。
管理者はまた、パッチリリースへの追随、外部アクセスの強化、そしてパッチで修正された脆弱性により露出していた機能における不審な活動の監視など、インスタンスを保護するための文書化されたベストプラクティスについて GitLab を確認する必要があります。
翻訳元: https://gbhackers.com/gitlab-patches-multiple-flaws-allowing-arbitrary-code-execution/
