CVE-2025-0314: GitLab Releases Patch for XSS Exploit
2025/01/23 SecurityOnline — GitLab が発行したのは、いくつかの脆弱性に対処する重要なセキュリティ・アップデートであり、その中には深刻度の高いクロス・サイト・スクリプティング (XSS) の欠陥も含まれている。すでに GitLab は、Community Edition (CE) と Enterprise Edition (EE) のバージョン 17.8.1/17.7.3/17.6.4 をリリースし、これらの問題に対処している。
最も深刻な脆弱性 CVE-2025-0314 (CVSS:8.7) を悪用する攻撃者は、特定のファイル・タイプの不適切なレンダリングを介して、GitLab インスタンスに悪意のスクリプトを挿入できる。それにより攻撃者は、ユーザー・セッションのハイジャックや、機密データの窃取に加えて、影響を受けるシステムの制御を奪う可能性を手にする。
GitLab のアドバイザリには、「この脆弱性が影響を及ぼす範囲は、GitLab CE/EE のバージョン 17.2〜17.6.4 未満/17.7〜17.7.3 未満/17.8〜17.8.1 未満である。特定のファイル・タイプの不適切なレンダリングにより、XSS につながる可能性がある」と記されている。
今回のリリースで対処された、その他の脆弱性は以下のとおりである。
CVE-2024-11931 (CVSS:6.4):CI lint を介して保護された CI/CD 変数が、開発者により窃取される可能性を生じる
CVE-2024-6324 (CVSS:4.3):“cyclic reference of epics” に関連する、サービス拒否 (DoS) 脆弱性。
すべてのユーザーに対して GitLab が推奨するのは、ただちにインストールを更新することだ。同社は、「上記の問題の影響を受けるバージョンを実行している、すべてのインストールを可能な限り早急に、最新バージョンへとアップグレードすることを、強く推奨する」と述べている。
GitLab の深刻な XSS の脆弱性が FIX しました。ほぼ、すべてのバージョンに影響するようなので、ご利用のチームは、ご確認ください。前回の GitLab 関連の記事は、2025/01/08 の「GitLab の複数の脆弱性が FIX:インポート機能への影響が懸念される」です。よろしければ、GitLab で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.