記事本文(要約)
GitLabは、攻撃者がアカウントを乗っ取ったり、将来のパイプラインに悪意のあるジョブを注入できる複数の脆弱性を修正するためのセキュリティアップデートをリリースしました。版18.0.2、17.11.4、17.10.8がリリースされ、全ての管理者にアップグレードが推奨されています。CVE-2025-4278のHTMLインジェクションは、リモート攻撃者がアカウントを乗っ取る可能性があり、CVE-2025-5121の認証不足の問題は、GitLab Ultimate EEのCI/CDパイプラインに悪意あるジョブを注入可能にします。これらの脆弱性は認証されたアクセスを必要としますが、既にGitLab.comでは修正済みです。また、CVE-2025-2254のクロスサイトスクリプティングやCVE-2025-0673のDoS脆弱性も修正されています。GitLabのリポジトリは機密情報を扱うため、しばしば攻撃対象となります。GitLabは3,000万人以上の登録ユーザーを持ち、Fortune 100の企業の50%以上で利用されています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 12 Jun 2025 08:26:00 -0400
Original URL: https://www.bleepingcomputer.com/news/security/gitlab-patches-high-severity-account-takeover-missing-auth-issues/
詳細な技術情報
以下は、GitLabの複数の脆弱性に関する詳細な分析です。
CVE番号と脆弱性の仕組み
- CVE-2025-4278: HTMLインジェクション
- 脆弱性の仕組み: 攻撃者が検索ページに悪意のあるコードを注入することで、リモートからのアカウント乗っ取りが可能になる脆弱性です。
- 攻撃手法: 攻撃者はHTMLインジェクションを利用して、ユーザのブラウザで任意のスクリプトを実行させることでアカウントを乗っ取ります。
- CVE-2025-5121: 認証欠落
- 脆弱性の仕組み: GitLab Ultimate EEにおいて、リモートの脅威アクターが権限なしに悪意のあるCI/CDジョブをプロジェクトの今後のCI/CDパイプラインに注入できる問題です。
- 攻撃手法: 認証されたユーザーとしてアクセスすることで、CI/CDジョブを不正に注入します。ただしGitLab Ultimateのライセンスが必要です。
- CVE-2025-2254: クロスサイトスクリプティング(XSS)
- 脆弱性の仕組み: 攻撃者が正規ユーザーのコンテキストで動作することができる脆弱性です。
- 攻撃手法: 悪意のあるスクリプトをウェブページに埋め込み、ユーザーのブラウザ上で不正な操作を行わせることが可能です。
- CVE-2025-0673: サービス拒否(DoS)
- 脆弱性の仕組み: 無限リダイレクトループを引き起こし、メモリを過度に消費させ、正規のユーザーのアクセスを拒否することができる問題です。
- 攻撃手法: Webページに無限リダイレクトを仕掛け、システムリソースを枯渇させます。
潜在的な影響
- アカウントの乗っ取りによる機密情報の漏洩。
- CI/CDパイプラインの不正利用により、ソフトウェアの信頼性の低下やバックドア挿入のリスク。
- XSSによるユーザ情報の搾取。
- DoS攻撃によるサービスダウンタイム、影響を受けるユーザーの増加。
推奨される対策
- バージョンアップ:
- GitLabは、脆弱性に対処したGitLab CommunityおよびEnterpriseのバージョン18.0.2、17.11.4、17.10.8をリリースしています。すべての管理者は直ちにこれらのバージョンにアップグレードする必要があります。
- セキュリティ教育:
- ユーザーに対してセキュリティのベストプラクティス、例えば、不審なリンクやファイルを開かないように啓蒙することも重要です。
- アクセス管理の改善:
- 認証されたアクセスを持つユーザーを定期的に監査し、不要な権限を削除する。
- 脆弱性スキャンの実施:
- 定期的なセキュリティスキャンを行い、未知の脆弱性を発見して修正を行う。
