GitLab Releases Security Update to Patch XSS and Account Takeover Flaws
2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.11.1/17.10.5/17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。
深刻度の高い XSS とアカウント乗っ取りのリスク
このアドバイザリでは、Maven Dependency Proxy における複数の重大度の高いクロスサイト・スクリプティング (XSS) などの、複数の脆弱性について詳細に説明されている。これらの脆弱性は、特定の状況下でのユーザーのブラウザにおいて、XSS 攻撃やコンテンツ・セキュリティ・ポリシー・バイパスを許す可能性があるものだ。その影響が及ぶ範囲は、バージョン 16.6〜17.9.7 未満/17.10〜17.10.5 未満/17.11〜17.11.1 未満となる。
GitLab は、これらの XSS 脆弱性 CVE-2025-1763/CVE-2025-2443 を、CVSSスコア 8.7 と評価し、深刻度が高いことを強調している。なお、これらの脆弱性の発見者は joaxcar であり、GitLab の HackerOne バグバウンティ・プログラムを通じて報告されている。
さらに、Maven Dependency Proxy における、Network Error Logging (NEL) Header インジェクションの脆弱性も確認されている。この脆弱性の悪用に成功した攻撃者は、ユーザーのブラウジング・アクティビティを追跡し、アカウント乗っ取りを引き起こす可能性があるとされる。この脆弱性 CVE-2025-1908 の、CVSSスコアは 7.7 と評価されている。
サービス拒否 (DoS) と 不正アクセス
前述の XSS とアカウント乗っ取りのリスクに加えて、このアドバイザリは、プレビューを通じてサービスの可用性に影響を与える、サービス拒否 (DoS) 脆弱性にも対処している。この脆弱性 CVE-2025-0639 は、バージョン 16.6〜17.9.7 未満/17.10〜17.10.5 未満/17.11〜17.11.1 未満に影響を及ぼす。この脆弱性は、Sigitsetiawansss により報告されている。
最後の、アクセス制御の脆弱性 CVE-2024-12244 は、プロジェクトでリポジトリ・アセットが無効化されている場合において、ブランチ名への不正アクセスを引き起こす可能性があるものだ。この脆弱性も、バージョン 16.6〜17.9.7 未満/17.10〜17.10.5 未満/17.11〜17.11.1 未満に影響を及ぼす。この脆弱性は、Mateuszek が HackerOne プログラムを通じて報告している。
推奨される速やかなアップグレード
GitLab は、「一連の脆弱性の影響を受けるバージョンを実行している、すべてのインストールについて、最新バージョンへと速やかにアップグレードするよう、強く推奨している。すべてのユーザーは、バージョン17.11.1/17.10.5/17.9.7 へとアップグレードし、これらのセキュリティ・リスクを軽減する必要がある。
GitLab の今回のアップデートでは、5件の脆弱性が修正されました。その中でも、CVE-2025-1763/CVE-2025-2443 は、CVSS 値が 8.7 の深刻なものです。ご利用のチームは、アップデートを忘れないよう、ご注意ください。なお、前回の GitLab の脆弱性は 2025/03/26の「GitLab の複数の脆弱性 CVE-2025-2255/0811 などが FIX:XSS や権限昇格の恐れ」となります。よろしければ、GitLab で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.