GitLabは2025年10月22日、GitLab Community Edition(CE)/Enterprise Edition(EE)向けに18.5.1/18.4.3/18.3.5のパッチを公開しました。複数の脆弱性が修正され、なかでもCVE-2025-11702(CVSS 8.5)はRunner APIの不適切なアクセス制御により、特定権限を持つ認証済みユーザーが他プロジェクトのRunnerをハイジャックできる可能性がある高深刻度の問題です。速やかなアップグレードが推奨されています。
加えて、DoS脆弱性3件(CVE-2025-10497/11447/11974)なども修正されています。
影響製品・バージョン
-
提供版:18.5.1/18.4.3/18.3.5(CE/EE)
-
CVE-2025-11702(Runner API):影響はGitLab EEの
17.1 以降 18.3.5 未満/18.4 系は 18.4.3 未満/18.5 系は 18.5.1 未満 -
CVE-2025-10497(イベント収集のDoS):17.10 以降 18.3.5 未満/18.4.3 未満/18.5.1 未満
-
CVE-2025-11447(GraphQL/JSON検証のDoS):11.0 以降 18.3.5 未満/18.4.3 未満/18.5.1 未満
-
CVE-2025-11974(アップロードのDoS):11.7 以降 18.3.5 未満/18.4.3 未満/18.5.1 未満
※リリース文面には一部でCE/EE表記や影響範囲に記述ゆれが見られます。自環境の系列(18.3/18.4/18.5)に合わせ、該当ブランチの最新パッチを適用してください。
配布形態(Omnibus、ソース、Helm等)に依存せず影響します。
大規模環境は段階適用(ステージ→限定セグメント→全体)とロールバック手順の準備を推奨します。
CVE-2025-11702の概要
Runner乗っ取り(CVE-2025-11702)は最優先で対処すべき事案です。共有Runnerや複数プロジェクト共用の運用では、CI/CD変数・クラウド資格情報・署名鍵などが連鎖的に露出する恐れがあります。
出典








