コードコラボレーションの人気プラットフォームであるGitLabは、Community Edition (CE) およびEnterprise Edition (EE) 向けに緊急セキュリティパッチをリリースしました。
これらの修正は、バージョン18.8.4、18.7.4、および18.6.6を対象としています。ハッカーがサービス拒否(DoS)攻撃、クロスサイトスクリプティング(XSS)、さらにはアクセストークンなどの機密データの窃取に利用できる深刻なバグを修正します。
なぜこれが重要なのでしょうか?GitLabは世界中の数百万人の開発者を支えています。単一の欠陥により、攻撃者がサービスをクラッシュさせたり、プライベートコードを盗んだり、ユーザーを騙して悪意のあるスクリプトを実行させたりする可能性があります。
セルフマネージド型ユーザー、つまり自分のサーバー上でGitLabを実行しているユーザーは、すぐにアップデートする必要があります。GitLab.comはすでに安全であり、Dedicatedのお客様はアクションを起こす必要はありません。
このパッチの目玉はCVE-2025-7659で、CVSSスケールで8.0(高深刻度)と評価されています。これは、GitLabのオンラインコードエディタであるWeb IDEの「不完全な検証」バグです。
認証されていない攻撃者は、ログインを必要とせずに、トークンを取得してプライベートリポジトリに侵入できます。秘密のプロジェクトコードが露出することを想像してください。これが知的財産に対するリスクです。
次にDoSバグがありました。CVE-2025-8099(CVSS 7.5)はGraphQLイントロスペクションを標的とし、終わりのないクエリがサーバーを過負荷にしてクラッシュさせます。
CVE-2026-0958(これも7.5)は、ミドルウェアでのJSONチェックをスキップし、メモリやCPUを使い果たします。まるでパイプが破裂するまで水を流し続けるようなものです。
XSSとインジェクションの問題がそれを補完します。CVE-2025-14560(7.3)は、Code Flowでのスクリプトインジェクションを許可し、セッションハイジャックの可能性があります。CVE-2026-0595(7.3)は、テストケースのタイトルにHTMLを挿入し、攻撃者が偽のコンテンツをプッシュできるようにします。
より低いがそれでもリスクがあります:MarkdownツールとダッシュボードでのさらなるDoS、および内部ネットワークを調査できるサーバーサイドリクエストフォージェリ(SSRF)。
これらの脅威を回避するために今すぐアップグレードしてください。詳細についてはGitLabのリリースノートを確認してください。管理者の方は、セットアップをスキャンし、まずステージング環境でテストしてください。
このパッチの波は、タイムリーなアップデートが悪用を防ぐことを示しています。ハッカーは毎日古いバージョンをスキャンしています。