「GitLab」に複数脆弱性 - 早急にアップデートを
GitLabは現地時間2025年6月11日、セキュリティアップデート「GitLab 18.0.2」「同17.11.4」「同17.10.8」をリリースした。複数の脆弱性を解消しており、早期の更新を呼びかけている。
「同Enterprise Edition(EE)」「同Community Edition(CE)」においてあわせて10件の脆弱性へ対処したもの。
今回の修正に重要度が「クリティカル(Critical)」とされる脆弱性はなかったが、重要度が次に高い「高(High)」とされる脆弱性が4件含まれる。
具体的には、HTMLインジェクションの脆弱性「CVE-2025-4278」やクロスサイトスクリプティング(XSS)の「CVE-2025-2254」。いずれも共通脆弱性評価システム「CVSSv3.1」のベーススコアが「8.7」と高い。
「GitLab Ultimate EE」においてCI/CDパイプラインへ悪意あるジョブを挿入されるおそれのある認可不備の脆弱性「CVE-2025-5121」がCVSS基本値が「8.5」、サービス拒否が生じるおそれがある「CVE-2025-0673」が「7.5」で続いている。
このほか、「中(Medium)」とされる脆弱性5件や「低(Low)」とされる1件について修正した。バグなどの修正も行っており、利用者に対して早急にアップデートを講じるよう呼びかけている。
(Security NEXT - 2025/06/12 )
ツイート
PR
関連記事
米当局、悪用脆弱性に6件追加 - SharePoint関連はランサムも悪用
「Apache httpd」のアクセス制御に脆弱性 - 条件分岐が常時「真」に
NVIDIAのGPUディスプレイドライバや仮想GPUソフトに複数脆弱性
GitLabにXSSなど複数の脆弱性 - アップデートを呼びかけ
SonicWall「SMA 100」に脆弱性 - Googleが報告した攻撃との関連不明
「Sophos Firewall」に複数の「クリティカル」脆弱性 - 対象機器は1%未満
ブラウザ「Firefox 141」が公開 - 脆弱性18件を解消
中国複数グループが「ToolShell」攻撃を展開 - 攻撃拡大に懸念
SonicWall「SMA 100」にバックドア、ゼロデイ攻撃か - 侵害調査の実施を
マルチパートフォームデータを生成するnpmパッケージに脆弱性