出典: Security NEXT – https://www.security-next.com/177128
GitLabがセキュリティアップデートを実施 – 9件の脆弱性に対応
2025年11月12日、GitLabは「GitLab 18.5.2」「18.4.4」「18.3.6」のセキュリティアップデートをリリースし、合計9件の脆弱性に対処しました。今回の修正は、GitLab Community Edition(CE)およびEnterprise Edition(EE)両方に適用されています。
主要なポイント
- 9件の脆弱性を修正:うち1件はGitLab内部で発見され、残り8件はバグ報奨金プログラムを通じて報告されたものです。
- 高リスクの脆弱性1件を含む:最も深刻な「クリティカル」レベルはありませんが、「高(High)」レベルの脆弱性が1件含まれています。
- KubernetesプロキシのXSS脆弱性(CVE-2025-11224):入力検証不足によるクロスサイトスクリプティング(XSS)問題で、認証が必要な環境で悪用される可能性があります。
- その他の脆弱性も修正:中(Medium)レベルが3件、低(Low)レベルが5件含まれています。
- CVSSv3.1スコア:高リスクの脆弱性は7.7と評価されており、重要なアップデートとなっています。
技術的な詳細や背景情報
今回のアップデートで特に注目されるのは、Kubernetesのプロキシ機能に関連したクロスサイトスクリプティング(XSS)の脆弱性「CVE-2025-11224」です。XSSは、攻撃者が悪意のあるスクリプトをウェブページに注入し、ユーザーのブラウザ上で実行させる攻撃手法です。この脆弱性は、GitLabのKubernetes統合機能における入力検証が不十分であったことが原因で発生しました。
なお、この脆弱性の悪用にはGitLabへの認証が必要であるため、外部からの直接的な攻撃リスクは限定的ですが、内部ユーザーや権限を持つユーザーが攻撃者に利用される可能性があります。CVSSv3.1のベーススコアは7.7で「高(High)」と評価されており、適切な対策が求められます。
その他の脆弱性は、権限昇格や情報漏洩、サービス拒否(DoS)などのリスクを含むものがあり、総合的なセキュリティ強化のために修正が行われています。
影響や重要性
GitLabは多くの開発チームや企業で利用されているDevOpsプラットフォームであり、ソースコード管理やCI/CD(継続的インテグレーション/継続的デリバリー)などの機能を提供しています。今回の脆弱性は、特にKubernetes連携機能を利用している環境でのリスクが懸念されます。
認証が必要とはいえ、XSS脆弱性はセッションハイジャックや権限の乗っ取りなど、重大な被害につながる可能性があるため、速やかなアップデート適用が推奨されます。また、中・低リスクの脆弱性も放置すると複合的な攻撃の足掛かりとなるため、包括的な対策が重要です。
まとめ
GitLabは2025年11月に9件の脆弱性を修正するセキュリティアップデートを公開しました。特にKubernetesプロキシのXSS脆弱性「CVE-2025-11224」は高リスクと評価されており、認証済みユーザーに悪用される可能性があります。GitLabを利用している組織は、速やかに最新版への更新を行い、システムの安全性を確保することが求められます。
今後もGitLabの公式情報やセキュリティアドバイザリを注視し、適切なセキュリティ対策を継続していくことが重要です。
