GitLab Alert: Patch Now! XSS & Privilege Escalation Risks
2025/03/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、セルフマネージド GitLab Community Edition (CE) および Enterprise Edition (EE) の全ユーザー対して、最新バージョンである 17.10.1/17.9.3/17.8.6 へと、速やかにアップグレードするよう促している。このアップデートは、クロスサイト・スクリプティング (XSS) の欠陥や権限昇格の問題などの、一連の脆弱性に対処するものである。
1つ目の脆弱性 CVE-2025-2255 (CVSS:8.7) は、merge-request エラー・メッセージによるクロスサイト・スクリプティング (XSS) に起因し、バージョン 13.5.0 〜 17.8.6/17.9 〜 17.9.3/17.10 〜 17.10.1 に影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、細工されたエラー・メッセージを介して、悪意のスクリプトを挿入する機会を得る。
2つ目の脆弱性 CVE-2025-0811 は、特定ファイル・タイプの不適切なレンダリングによる XSS であり、バージョン 17.7 〜17.8.6/17.9 〜 17.9.3、17.10 〜 17.10.1 に影響を及ぼす。この不適切なファイル・レンダリングにより、ユーザーのブラウザー内での悪意のコード実行の可能性が生じる。
これらの脆弱性は、GitLab の HackerOne バグ報奨金プログラムを通じて、yvvdwf により適切に開示された。
3つ目のその他の深刻な脆弱性として、権限昇格の脆弱性 CVE-2025-2242 (CVSS:7.5) も対処されている。その原因となる、GitLab CE/EE における不適切なアクセス制御の欠陥は、バージョン 17.4 〜 17.8.6/17.9 〜 17.9.3/17.10 〜17.10.1 に影響を及ぼす。以前において、インスタンス管理者だったユーザーが、その後に一般ユーザーにダウングレードされた場合でも、この脆弱性により、グループやプロジェクトに対する昇格した権限を維持し続けることになる。したがって、管理者は権限が取り消された後でも、重要な制御の維持が可能になり得る。
4つ目の脆弱性 CVE-2024-12619 (CVSS:5.2) は、GitLab CE/EE のバージョン 16.0 〜 17.8.6/17.9 〜 17.9.3/17.10 〜 17.10.1 に影響を及ぼすものだ。その悪用により、内部ユーザーによる内部プロジェクトへの不正アクセスの可能性が生じる。
今回のアップデートでは、以下の脆弱性も修正されている。
CVE-2024-10307:merge-request 内の悪意の Terraform ファイルによる制御不能なリソース消費。l33thaxor により報告。
CVE-2024-9773:ヘルパー・スクリプト使用時の、Harbor プロジェクト名コンフィグにおけるシェルコード・インジェクション。joaxcar により報告。
CVE-ID 未採番:Amazon Q 統合を備えた、GitLab Duo のプロンプト・インジェクション脆弱性。Félix Veillette-Potvin により内部的に発見。
GitLab のアドバイザリには、「上記の問題の影響を受けるバージョンを実行している、すべてのインストールに対して、最新バージョンへの速やかなアップグレードを強く推奨する」と記されている。
自己管理型の GitLab インスタンスを使用している組織は、これらの更新を優先して適用し、悪用のリスクを軽減する必要がある。これらの XSS および権限昇格の脆弱性の影響は深刻である。GitLab 環境のセキュリティと整合性を維持するために、この更新は不可欠となる。
GitLab の複数の脆弱性が FIX しました。GitLab の前回のアップデートは、2025/03/12 の「GitLab の深刻な脆弱性 CVE-2025-25291/25292 などが FIX:SAML 認証バイパスの恐れ」となります。ご利用のチームは、アップデートを、ご確認ください。また、2025/03/13 に投稿した「大規模な SSRF キャンペーンを検出:Grafana のパストラバーサルが偵察に使われている?」では、GitLab が SSRF 攻撃の標的となっていることが報じられています。よろしければ、GitLab で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.