概要

GitLabは、クロスサイトスクリプティング（XSS）、認証バイパス、サービス拒否（DoS）など、自己管理型インスタンスに影響を与える複数の脆弱性を修正するための緊急パッチをリリースしました。Linux管理者は、これらの脆弱性によって任意のコード実行が可能になる可能性があるため、速やかにシステムを更新することが求められています。最新のパッチリリースであるGitLab 18.7.1、18.6.3、および18.5.5は、すでにGitLab.comに展開されており、これらのセキュリティ問題に対処しています。

修正された脆弱性の詳細

今回のパッチリリースは、GitLab Flavored Markdown、Web IDE、Duo Workflows、AI GraphQLエンドポイント、インポート機能、ランナー管理など、主要な機能に影響する複数のセキュリティ問題を解決しています。

• CVE-2025-9222: 細工されたMarkdownプレースホルダーを介した格納型XSSにより、被害者のブラウザでスクリプトが実行される可能性。CVSS v3.1スコアは8.7（高）。
• CVE-2025-13761: 未認証の攻撃者が細工されたウェブページを通じて認証済みユーザーのブラウザでコードを実行できるXSS。CVSS v3.1スコアは8.0（高）。
• CVE-2025-13772: 認証不備により、権限の低いユーザーが不正な名前空間からAIモデル設定にアクセスできる可能性。CVSS v3.1スコアは7.1（高）。
• CVE-2025-13781: 認証不備により、インスタンス全体のAIプロバイダー設定が変更される可能性。CVSS v3.1スコアは6.5（中）。
• CVE-2025-10569: 認証済みユーザーが細工された外部API応答を介してサービス拒否（DoS）を引き起こす可能性。CVSS v3.1スコアは6.5（中）。
• CVE-2025-11246: 不十分なアクセスコントロールの粒度により、ユーザーが関連のないプロジェクトからプロジェクトランナーを削除できる可能性。CVSS v3.1スコアは5.4（中）。
• CVE-2025-3950: アセットプロキシをバイパスする細工された画像を介して接続詳細が漏洩する情報漏洩。CVSS v3.1スコアは3.5（低）。

影響と推奨される対策

最も深刻な問題は、攻撃者がGitLabユーザーのブラウザで任意のJavaScriptを実行できる格納型および反射型クロスサイトスクリプティングです。また、Duo WorkflowsやAI GraphQLミューテーションにおける認証チェックの不備は、権限の低いユーザーが許可された名前空間外のAI設定にアクセスまたは変更することを可能にする可能性があります。これらの脆弱性は、プロジェクトデータの整合性、設定詳細の機密性、およびGitLabサービスの可用性を脅かすものです。

GitLabは、すべての管理者に、これらの脆弱性を軽減するために、シリーズの最新パッチ（18.7.1、18.6.3、または18.5.5）にできるだけ早くアップグレードするよう強く推奨しています。単一ノードインスタンスでは、データベース移行に伴うダウンタイムが予想されますが、マルチノード環境では、サービス中断を避けるためにGitLabのゼロダウンタイム手順に従うことができます。

管理者は、インスタンスを保護するためのGitLabのベストプラクティスも確認し、パッチの適用、外部アクセスの強化、およびパッチが適用された脆弱性によって公開される機能における異常なアクティビティの監視を継続する必要があります。

元記事: https://gbhackers.com/gitlab-patches-multiple-flaws-allowing-arbitrary-code-execution/