GitLab Patches Multiple Flaws Allowing Arbitrary Code Execution
2026/01/08 gbhackers — GitLab が公開した複数の脆弱性に対処するために、管理者たちに求められるのは、速やかなアップデートの実施である。これらの脆弱性には、セルフマネージド・インスタンスにおいて、クロスサイト・スクリプティング/認証バイパス/サービス拒否攻撃を可能にする欠陥が含まれている。最新のパッチリリースである GitLab 18.7.1/18.6.3/18.5.5 では、これらのセキュリティ問題への対処に加え、複数のバグ修正および依存関係の更新が行われており、すでに GitLab.com に導入済みである。
GitLab セキュリティ・アップデートの概要
GitLab は、隔週の定期パッチ・リリースの一環としてセキュリティ修正を公開し、深刻な問題に対してはアドホック・パッチも公開している。すべてのユーザーに対して GitLab が推奨するのは、サポート対象ブランチで常に最新パッチを適用することである。
今回リリースされたバージョンでは、GitLab Flavored Markdown/Web IDE/Duo Workflows/AI GraphQL エンドポイント/インポート機能/ランナー管理などの、コア機能に影響する脆弱性が修正されている。これらの更新は、製品タイプが明示的に除外されていない限り、オムニバス・パッケージ/ソース・インストール/Helm チャートなどの、すべてのデプロイメント・タイプに適用される。そのため、大半のセルフマネージド環境において対応が必要となる。
| CVE ID | Description | CVSS v3.1 |
| CVE-2025-9222 | Stored XSS via crafted Markdown placeholders, allowing script execution in victim browsers. | 8.7 (High) |
| CVE-2025-13761 | XSS that lets an unauthenticated attacker execute code in an authenticated user’s browser via a crafted webpage. | 8.0 (High) |
| CVE-2025-13772 | Missing authorization lets users access AI model settings from unauthorized namespaces. | 7.1 (High) |
| CVE-2025-13781 | Missing authorization allows modification of instance-wide AI provider settings. | 6.5 (Medium) |
| CVE-2025-10569 | Authenticated users can trigger denial of service via crafted responses to external API calls. | 6.5 (Medium) |
| CVE-2025-11246 | Insufficient access control granularity lets users remove project runners from unrelated projects. | 5.4 (Medium) |
| CVE-2025-3950 | Information disclosure by leaking connection details via specially crafted images that bypass asset proxy. | 3.5 (Low) |
最も深刻な問題としては、ストアド・クロスサイト・スクリプティングおよびリフレクション・クロスサイト・スクリプティングなどの脆弱性がある。これらの脆弱性を悪用する攻撃者は、GitLab ユーザーのブラウザ上で任意の JavaScript を実行できる。Duo Workflows および AI GraphQL ミューテーション (Mutation) においては、認証チェックの欠如により、権限の低いユーザーであっても、許可されたネームスペース外での AI コンフィグへのアクセスまたは変更が可能になる。
その他にも、インポート機能でのサービス拒否/GraphQL ランナー更新時のアクセス制御粒度不足/Mermaid ダイアグラム・レンダリングでの機密性の高い接続情報の漏洩などが確認されている。これらの脆弱性により、影響を受けるバージョンにおけるプロジェクトデータの整合性/コンフィグ情報の機密性/GitLab サービスの可用性が脅かされる恐れがある。
これらの脆弱性を軽減するために、GitLab が管理者に対して強く指摘するのは、最新パッチである 18.7.1/18.6.3/18.5.5 のいずれかへと、可能な限り速やかにアップグレードすることだ。
アップグレードの実施において、シングルノード・インスタンスの場合には、作業中のデータベース移行によりダウンタイムが発生する可能性がある。その一方、マルチノード環境では、GitLab のゼロ・ダウンタイム手順に従うことで、サービス中断を回避できる。
管理者にとって必要なことは、パッチリリースの適用に加え、外部アクセス制御の強化や、パッチ適用後に露出する異常なアクティビティの監視などの、GitLab が推奨するベストプラクティスの確認となる。
GitLab の定例セキュリティ・アドバイザリが更新されました。今回のアップデートに関する情報では、Markdown 機能や Web IDE における入力値の検証不足と、AI 関連機能やランナー管理における認証/権限チェックの不備が修正されています。これらの脆弱性が悪用されると、外部からの悪意のスクリプト注入や、想定外の設定の変更などが生じてしまいます。ご利用のチームは、ご注意ください。よろしければ、GitLab での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.