GitLab Releases Security Update to Patch Multiple DoS-Enabling Vulnerabilities
2025/10/09 gbhackers — GitLab が発表したのは、Community Edition (CE) とEnterprise Edition (EE) の両方に影響を及ぼす、複数のサービス拒否 (DoS) 脆弱性に対処する重大なセキュリティ・アップデートである。セルフマネージド・インストールを利用しているユーザーは、直ちにバージョン 18.4.2/18.3.4/18.2.8 にアップグレードする必要がある。また、GitLab.com では既に修正済みバージョンが稼働中であり、GitLab Dedicated の利用者は影響を受けない。
GitLab チームは毎月の第2/第4水曜日に定期リリースを実施し、重大度の高い問題にはアドホックな重要パッチを提供している。今回の更新には、GraphQL エンドポイント/Webhook 処理/CI/CD ジョブ認証を強化する、重要なバグ修正およびセキュリティ修正が含まれている。なお、明示的に除外されていない、すべてのデプロイメント・タイプ (オムニバスパッケージ/ソースインストール/Helmチャート) も影響を受ける。
管理者に対して推奨されるのは、アップグレード手順およびベストプラクティスについて、GitLab のリリース・ハンドブックとセキュリティ FAQ を参照することだ。最新のパッチ・リリースを維持することで、新たに発見された脆弱性の悪用の可能性を回避できる。
DoS 攻撃につながる脆弱性の詳細
今回の更新では、4件の脆弱性が修正されているが、そのうちの2件は深刻度 High であり、もう2件は Medium と評価されている。
深刻度 High の脆弱性
- CVE-2025-10004 (High) :この脆弱性を悪用する未認証の攻撃者が、細工された GraphQL クエリにより大規模なリポジトリ BLOB を要求することで、GitLab に応答不能の可能性が生じる。
- CVE-2025-11340 (High) :この脆弱性は、GraphQL ミューテーションにおける認証処理の不備に起因し、Enterprise Edition で読み取り専用トークンを持つ認証済みユーザーに対して、不正な書き込み操作を許す可能性が生じる。
これらの問題は、最新リリースで修正済みである。
深刻度 Medium の脆弱性
- CVE-2025-9825 (Medium) :権限のないユーザーが GraphQL API を通じて、機密性の高い CI/CD 変数を閲覧する可能性がある。
- CVE-2025-2934 (Medium) :Webhook エンドポイントに影響を及ぼす脆弱性であり、細工された HTTP レスポンスの許可によりシステム・リソースを消費させる。
影響を受けるすべてのバージョンおよび、CVSSスコアは以下の通りである。
| CVE ID | Description | Severity | CVSS 3.1 Score |
| CVE-2025-11340 | Incorrect authorization in GraphQL mutations allows write operations | High | 7.7 |
| CVE-2025-10004 | Denial of Service via large GraphQL blob queries | High | 7.5 |
| CVE-2025-9825 | Missing authorization in manual jobs exposes CI/CD variables | Medium | 5.0 |
| CVE-2025-2934 | DoS through malicious webhook HTTP responses | Medium | 4.3 |
GitLab のセキュリティ・チームは、各パッチ・リリースから 30日後に詳細な問題レポートを公開し、イシュー・トラッカーに脆弱性をリストすることで、透明性を確保している。良好なセキュリティ状態を維持するため、利用者は GitLab セキュリティ FAQ の推奨事項に従い、インスタンス・セキュリティのベストプラクティス・ガイドを遵守する必要がある。
最新のパッチ・リリースへの定期的な更新は、既知の脆弱性からの保護に加え、進化するセキュリティ基準への準拠も保証する。さらに、堅牢なアクセス制御/トークン管理/ネットワーク分離を徹底することで、悪用リスクを低減できる。
GitLab の一連の脆弱性ですが、実装上の入力検証と認可チェックの不足が原因のようです。具体的には、巨大な GraphQL BLOB 要求を抑えられない入力処理の不備や、GraphQL ミューテーションでの認可漏れ、Webhook 応答の不適切な処理、そして CI/CD 変数への権限検査不足といった点です。ご利用のチームは、ご注意ください。よろしければ、GitLab で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.