GitLab の脆弱性 CVE-2025-7659 などが FIX:不正アクセス/DoS/XSS などの恐れ

GitLab Patches Multiple Vulnerabilities That Enables DoS and Cross-site Scripting Attacks

2026/02/11 CyberSecurityNews — GitLab の Community Edition (CE)/Enterprise Edition (EE) に対して、複数の深刻な脆弱性へ対処するための重大なセキュリティ・アップデートが、バージョン 18.8.4/18.7.4/18.6.6 としてリリースされた。一連の脆弱性を悪用する攻撃者は、サーバクラッシュ/データ窃取/ユーザーセッション乗っ取りなどを引き起こす可能性がある。セルフマネージド環境の管理者に対して、セキュリティ専門家たちが強く指摘するのは、速やかなアップグレードである。

最も深刻な脆弱性 CVE-2025-7659 (CVSS:8.0) は、Web IDE に存在する不完全な検証に起因するものだ。それにより、特定データへのアクセス者検証が適切に行われないという問題が生じる。

この欠陥を悪用する未認証の攻撃者 (ユーザー名/パスワードを持たない者) は、アクセストークンを窃取し、非公開のソフトウェア・リポジトリを閲覧する可能性がある。

CVE IDSeverityTypeDescription
CVE-2025-7659High (8.0)Token TheftUnauthenticated access to private tokens via Web IDE.
CVE-2025-8099High (7.5)DoSService crash via repeated GraphQL queries.
CVE-2026-0958High (7.5)DoSResource exhaustion via JSON validation bypass.
CVE-2025-14560High (7.3)XSSmalicious script injection in Code Flow.

その一方で、今回のアップデートは 2 件の DoS (Denial-of-Service) 問題にも対処している。この欠陥を突く攻撃者は、システムを過負荷状態にしてサービス停止を引き起こす可能性を得る。

脆弱性 CVE-2025-8099 (CVSS:7.5) を悪用する攻撃者は、GraphQL インターフェイスへ複雑なクエリを繰り返し送信することで、サービス・クラッシュを引き起こせる。CVE-2026-0958 (CVSS:7.5) のケースでは、JSON 検証ミドルウェアの悪用により、サーバのメモリや CPU が枯渇する。

それらとは別に、Cross-Site Scripting (XSS) の脆弱性 CVE-2025-14560 (CVSS:7.3) も修正された。この問題は、Code Flow 機能に存在する。

XSS 脆弱性を悪用する攻撃者は、信頼されている Web サイトへの悪意のスクリプト挿入を可能にする。このインシデントでは、他ユーザーが閲覧した際に実行されるコードを埋め込み、被害者の権限で操作させることが可能となる。

影響バージョンを実行している、すべての顧客に対して GitLab が強く推奨するのは、最新バージョンへの即時アップグレードである。

今回のアップデートは、前述の深刻な問題に加えて、Server-Side Request Forgery (SSRF) や HTML インジェクションなどの、複数の Medium レベルの脆弱性も修正している。

管理者が留意すべきは、シングルノード環境のアップグレード時において、データベース移行のため短時間のダウンタイムが発生する可能性である。

GitLab の開発環境において、データの盗取やシステムの停止を招く恐れがある、複数の深刻な脆弱性が発生しました。この問題の原因は、Web IDEでのアクセストークン管理における検証不備や、GraphQL および JSON データの処理における不適切なリソース制限にあります。特に、Web IDE の欠陥では、ログインが必要なはずのプライベートな情報を、特定の検証プロセスを回避することで外部から取得できてしまう設計上の脆弱性が生じています。また、外部からの複雑なデータ要求に対して、サーバが過剰に応答してしまうことで、処理能力が限界に達し、システムがダウンする状況も引き起こされます。ご利用のチームは、ご注意ください。よろしければ、GitLab での検索結果も、ご参照ください。