「GitLab」にアップデート - 脆弱性15件を修正

GitLabは現地時間2026年2月10日、同社が提供する開発プラットフォームにおいて脆弱性が明らかになったとし、アップデートをリリースした。

各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」に「GitLab Community Edition（CE）」「GitLab Enterprise Edition（EE）」向けにアップデートをリリースしたもの。

今回のアップデートでは、あわせて15件の脆弱性に対処した。重要度が4段階中もっとも高い「クリティカル（Critical）」とされる脆弱性はなく、次に高い「高（High）」とされる脆弱性が5件含まれる。

具体的には、「Web IDE」における入力検証の不備により、認証のないユーザーによってトークンが窃取され、プライベートリポジトリに対してアクセスが可能となる「CVE-2025-7659」が判明。また「GraphQL」クエリの処理や「JSON」の検証によりサービス拒否が生じる脆弱性「CVE-2025-8099」「CVE-2026-0958」が確認された。

またコードフローにおけるクロスサイトスクリプティング（XSS）の脆弱性「CVE-2025-14560」、テストケースタイトルにおいてHTMLインジェクションが可能となる「CVE-2026-0595」が明らかとなっている。このほか、重要度が「中（Medium）」とされる7件、「低（Low）」とされる3件などが判明した。

同社では「同18.8.4」「同18.7.4」「同18.6.6」にて脆弱性を修正。できるだけ早く最新版へとアップデートするよう利用者に呼びかけている。今回のアップデートで修正された脆弱性は以下のとおり。

CVE-2025-7659
CVE-2025-8099
CVE-2025-12073
CVE-2025-12575
CVE-2025-14560
CVE-2025-14592
CVE-2025-14594
CVE-2026-0595
CVE-2026-0958
CVE-2026-1080
CVE-2026-1094
CVE-2026-1282
CVE-2026-1387
CVE-2026-1456
CVE-2026-1458

（Security NEXT - 2026/02/11 ） ツイート

PR

関連記事

米当局、悪用カタログに既知脆弱性5件を登録 - AppleやRockwellなど
「iPhone」狙う強力な攻撃キット「Coruna」 - 多数脆弱性を悪用、CVE未採番も
JetBrainsの複数製品に脆弱性 - 「Hub」ではクリティカルも
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「EC-CUBE」に多要素認証を回避される脆弱性 - 修正パッチを公開
自然言語処理ライブラリ「NLTK」に深刻なRCE脆弱性
メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
キヤノン複合機向けスキャンソフトに脆弱性 - アップデートを公開
「Chrome」にアップデート - 「クリティカル」含む脆弱性10件修正