「GitLab」にアップデート - 脆弱性15件を修正
GitLabは現地時間2026年2月10日、同社が提供する開発プラットフォームにおいて脆弱性が明らかになったとし、アップデートをリリースした。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」に「GitLab Community Edition(CE)」「GitLab Enterprise Edition(EE)」向けにアップデートをリリースしたもの。
今回のアップデートでは、あわせて15件の脆弱性に対処した。重要度が4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性はなく、次に高い「高(High)」とされる脆弱性が5件含まれる。
具体的には、「Web IDE」における入力検証の不備により、認証のないユーザーによってトークンが窃取され、プライベートリポジトリに対してアクセスが可能となる「CVE-2025-7659」が判明。また「GraphQL」クエリの処理や「JSON」の検証によりサービス拒否が生じる脆弱性「CVE-2025-8099」「CVE-2026-0958」が確認された。
またコードフローにおけるクロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-14560」、テストケースタイトルにおいてHTMLインジェクションが可能となる「CVE-2026-0595」が明らかとなっている。このほか、重要度が「中(Medium)」とされる7件、「低(Low)」とされる3件などが判明した。
同社では「同18.8.4」「同18.7.4」「同18.6.6」にて脆弱性を修正。できるだけ早く最新版へとアップデートするよう利用者に呼びかけている。今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2025-7659
CVE-2025-8099
CVE-2025-12073
CVE-2025-12575
CVE-2025-14560
CVE-2025-14592
CVE-2025-14594
CVE-2026-0595
CVE-2026-0958
CVE-2026-1080
CVE-2026-1094
CVE-2026-1282
CVE-2026-1387
CVE-2026-1456
CVE-2026-1458
(Security NEXT - 2026/02/11 )
ツイート
PR
関連記事
「FortiBleed」に国内組織の情報も - 影響調査など実施を
DB管理ツール「pgAdmin 4」に脆弱性 - 3件が「クリティカル」
Synology製NAS向けのメールサーバアドオンに深刻な脆弱性
「OpenDJ」にクリティカル脆弱性 - アップデートで修正
「Node.js」に12件の脆弱性 - 修正版を公開
ID管理基盤「OpenAM」にアップデート - 多数の脆弱性を修正
UbiquitiやLantronix製品の脆弱性悪用に注意喚起 - 米当局
「Chrome」に「クリティカル」4件を含む脆弱性修正アップデート
Cisco、7月1日の脆弱性修正を事前予告 - 「Catalyst Center」など対象
シンクライアント管理製品「Dell WMS」に深刻な脆弱性
