GitLab patches high severity account takeover, missing auth issues
2025/06/12 BleepingComputer — GitLab が公表したのは、同社の DevSecOps プラットフォームに存在する複数の脆弱性に対処するための、セキュリティ更新プログラムのリリースである。これらの脆弱性を悪用する攻撃者は、アカウントを乗っ取った後に、悪意のジョブのパイプラインへの注入を可能にするという。すでに GitLab は、GitLab Community/Enterprise のバージョン 18.0.2/17.11.4/17.10.8 をリリースし、これらのセキュリティ欠陥に対処している。すべての管理者に対して強く推奨されるのは、早急なアップグレードの実施である。
GitLab のアドバイザリには、「これらのバージョンには、重要なセキュリティ修正が含まれており、すべてのセルフマネージド GitLab インスタンスを、いずれかのバージョンへと、速やかにアップグレードすることを強く推奨する。なお、すでに GitLab.com では、パッチ適用済みのバージョンが運用されており、GitLab Dedicated の顧客による対応は不要である」と記されている。
6月11日(水)に GitLab に公開された更新には、HTML インジェクションの脆弱性 CVE-2025-4278 に対する修正が含まれている。この欠陥を悪用するリモートの攻撃者は、検索ページに悪意のコードを注入し、アカウント乗っ取りを可能にするという。
さらに、GitLab Ultimate EE に影響を及ぼす認証関連の脆弱性 CVE-2025-5121 に対しても、修正パッチが提供された。この脆弱性を悪用するリモートの攻撃者は、任意のプロジェクトの CI/CD パイプラインに、悪意の CI/CD ジョブを注入できる。
GitLab パイプラインは、CI/CD (Continuous Integration/Continuous Deployment) の機能であり、コードへの変更をビルド/テスト/デプロイする開発者のプロセスを自動化し、タスクを並列実行も可能にする。ただし、この脆弱性を悪用する攻撃者の前提としては、GitLab Ultimate ライセンスを有する GitLab インスタンスへの、認証済みアクセス権の保持が必要となる。
さらに同社は、クロスサイト・スクリプティング (XSS) 脆弱性 CVE-2025-2254 も修正した。それに加えて、リダイレクト・ループを引き起こしてメモリを枯渇させ、正当なユーザーのアクセスを妨害する攻撃が可能となる、サービス拒否 (DoS) 脆弱性 CVE-2025-0673 に対しても修正を行っている。
GitLab リポジトリには、機密情報や重要データが保存されているため、攻撃の標的となることが多い。今年の初めには、多国籍レンタカー企業 Europcar Mobility Group や、教育大手 Pearson が、GitLab リポジトリの侵害を受けたと報告している。
GitLab の DevSecOps プラットフォームには、3,000 万人以上のユーザーが登録されており、Goldman Sachs/Airbus/T-Mobile/Lockheed Martin/NVIDIA/UBS などの、Fortune 100 企業の 50%以上にも利用されている。
GitLab の脆弱性が FIX しましたが、CI/CD パイプラインが攻撃の入口になるリスクは、甚大な被害をもたらすものになりますね。特に、Ultimate EE における認証済みユーザーによる悪意のジョブ注入という問題点は、内部脅威や権限管理の重要性を示してくれます。ご利用のチームは、ご注意ください。よろしければ、GitLab で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.