「GitLab」にアップデート - 脆弱性15件を修正
GitLabは現地時間2026年2月10日、同社が提供する開発プラットフォームにおいて脆弱性が明らかになったとし、アップデートをリリースした。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」に「GitLab Community Edition(CE)」「GitLab Enterprise Edition(EE)」向けにアップデートをリリースしたもの。
今回のアップデートでは、あわせて15件の脆弱性に対処した。重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性はなく、次に高い「高(High)」とされる脆弱性が5件含まれる。
具体的には、「Web IDE」における入力検証の不備により、認証のないユーザーによってトークンが窃取され、プライベートリポジトリに対してアクセスが可能となる「CVE-2025-7659」が判明。また「GraphQL」クエリの処理や「JSON」の検証によりサービス拒否が生じる脆弱性「CVE-2025-8099」「CVE-2026-0958」が確認された。
またコードフローにおけるクロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-14560」、テストケースタイトルにおいてHTMLインジェクションが可能となる「CVE-2026-0595」が明らかとなっている。このほか、重要度が「中(Medium)」とされる7件、「低(Low)」とされる3件などが判明した。
同社では「同18.8.4」「同18.7.4」「同18.6.6」にて脆弱性を修正。できるだけ早く最新版へとアップデートするよう利用者に呼びかけている。今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2025-7659
CVE-2025-8099
CVE-2025-12073
CVE-2025-12575
CVE-2025-14560
CVE-2025-14592
CVE-2025-14594
CVE-2026-0595
CVE-2026-0958
CVE-2026-1080
CVE-2026-1094
CVE-2026-1282
CVE-2026-1387
CVE-2026-1456
CVE-2026-1458
(Security NEXT - 2026/02/11 )
ツイート
PR
関連記事
Adobe、InDesignやLightroomなど9製品にアップデート
「Ivanti EPM」に複数脆弱性 - 過去公表脆弱性とあわせて解消
SAP、セキュリティアドバイザリ26件を新規公開 - 「クリティカル」も
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
2月のMS月例パッチが公開 - ゼロデイ脆弱性6件含む55件に対処
「Django」にセキュリティ更新 - SQLiやDoSなど脆弱性6件を解消
沖電気製プリンタや複合機のWindows向けユーティリティに脆弱性
BeyondTrustのリモート管理製品に深刻な脆弱性 - 修正版を提供
Gitサーバ「Gogs」にRCE脆弱性 - 過去修正不十分で再々発
管理基盤「JetBrains Hub」に認証回避の深刻な脆弱性
