「GitLab」に複数の脆弱性 - アップデートで修正
GitLabは現地時間2025年11月26日、最新版となる「GitLab 18.6.1」「同18.5.3」「同18.4.5」をリリースした。あわせて6件の脆弱性に対処している。
今回のアップデートでは、「GitLab Community Edition(CE)」「Enterprise Edition(EE)」において、バグバウンティプログラムを通じて報告を受けた5件を含む6件の脆弱性を解消した。
重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は含まれていない。重要度が2番目に高い「高(High)」とされる脆弱性は2件としている。
具体的には、CI/CDキャッシュにおいて競合状態が生じ、認証済みのユーザーにおいて権限の昇格が可能となる「CVE-2024-9183」や、細工された「JSON」を送信することでサービス拒否を引き起こすことが可能となる「CVE-2025-12571」に対処している。
共通脆弱性評価システム「CVSSv3.1」のベーススコアはそれぞれ「7.7」「7.5」とレーティングされている。
このほか、アカウント登録において認証のバイパスが可能となる「CVE-2025-12653」や、一部認証済みユーザーによってセキュリティレポートを表示できる「CVE-2025-6195」など重要度が「中(Medium)」とされる3件、「低(Low)」とされる1件に対応している。今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2024-9183
CVE-2025-6195
CVE-2025-7449
CVE-2025-12571
CVE-2025-12653
CVE-2025-13611
(Security NEXT - 2025/12/05 )
ツイート
PR
関連記事
「Chrome 143」を公開 - 重要度「高」4件含む脆弱性13件に対応
「Next.js」にセキュリティアップデート - 「React」脆弱性が影響
「Apache HTTPD」にアップデート - 脆弱性5件を解消
JSライブラリ「React」に深刻なRCE脆弱性 - 早急に対応を
ウェブアプリフレームワーク「Django」に複数脆弱性 - アップデートが公開
米セキュリティ機関、「ScadaBR」既知脆弱性の悪用に警告
「Array AG」にCVE未採番の脆弱性 - 8月に国内で悪用被害
「Android Framework」のゼロデイ脆弱性に注意喚起 - 米当局
「Unbound」のDNSキャッシュ汚染脆弱性 - 追加対策版が公開
「Android」に月例パッチ、脆弱性107件に対応 - 2件ですでに悪用も
