「GitLab」にアップデート - 脆弱性15件を修正

GitLabは現地時間2026年2月10日、同社が提供する開発プラットフォームにおいて脆弱性が明らかになったとし、アップデートをリリースした。

各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」に「GitLab Community Edition（CE）」「GitLab Enterprise Edition（EE）」向けにアップデートをリリースしたもの。

今回のアップデートでは、あわせて15件の脆弱性に対処した。重要度が4段階中もっとも高い「クリティカル（Critical）」とされる脆弱性はなく、次に高い「高（High）」とされる脆弱性が5件含まれる。

具体的には、「Web IDE」における入力検証の不備により、認証のないユーザーによってトークンが窃取され、プライベートリポジトリに対してアクセスが可能となる「CVE-2025-7659」が判明。また「GraphQL」クエリの処理や「JSON」の検証によりサービス拒否が生じる脆弱性「CVE-2025-8099」「CVE-2026-0958」が確認された。

またコードフローにおけるクロスサイトスクリプティング（XSS）の脆弱性「CVE-2025-14560」、テストケースタイトルにおいてHTMLインジェクションが可能となる「CVE-2026-0595」が明らかとなっている。このほか、重要度が「中（Medium）」とされる7件、「低（Low）」とされる3件などが判明した。

同社では「同18.8.4」「同18.7.4」「同18.6.6」にて脆弱性を修正。できるだけ早く最新版へとアップデートするよう利用者に呼びかけている。今回のアップデートで修正された脆弱性は以下のとおり。

CVE-2025-7659
CVE-2025-8099
CVE-2025-12073
CVE-2025-12575
CVE-2025-14560
CVE-2025-14592
CVE-2025-14594
CVE-2026-0595
CVE-2026-0958
CVE-2026-1080
CVE-2026-1094
CVE-2026-1282
CVE-2026-1387
CVE-2026-1456
CVE-2026-1458

（Security NEXT - 2026/02/11 ） ツイート

PR

関連記事

「Chrome」アップデート、クリティカル含む脆弱性26件を修正
「Oracle Fusion Middleware」に深刻なRCE脆弱性 - 早急に対応を
CiscoやAppleなど脆弱性6件を悪用リストに追加 - 米当局
3月初旬修正の「Cisco Secure FMC」脆弱性が攻撃対象に
「SharePoint」「Zimbra」の脆弱性悪用に注意 - 米当局が注意喚起
ウェブメール「Roundcube」に複数脆弱性 - アップデートを公開
「Node.js」のセキュリティ更新、3月24日に公開予定
Oracleのエッジクラウド向けツールキットに深刻な脆弱性
「jsPDF」に複数脆弱性 - PDF生成時にスクリプト埋め込みのおそれ
「ScreenConnect」に暗号鍵不正取得のおそれがある脆弱性