GitLab、緊急アップデート公開:Runner乗っ取り(CVE-2025-11702)とDoS 3件を修正—18.5.1/18.4.3/18.3.5へ即時更新を

セキュリティニュース

投稿日時: 更新日時:

GitLab、緊急アップデート公開:Runner乗っ取り(CVE-2025-11702)とDoS 3件を修正—18.5.1/18.4.3/18.3.5へ即時更新を

GitLabは2025年10月22日、GitLab Community Edition(CE)/Enterprise Edition(EE)向けに18.5.1/18.4.3/18.3.5のパッチを公開しました。複数の脆弱性が修正され、なかでもCVE-2025-11702(CVSS 8.5)はRunner APIの不適切なアクセス制御により、特定権限を持つ認証済みユーザーが他プロジェクトのRunnerをハイジャックできる可能性がある高深刻度の問題です。速やかなアップグレードが推奨されています。

加えて、DoS脆弱性3件(CVE-2025-10497/11447/11974)なども修正されています。

影響製品・バージョン

  • 提供版:18.5.1/18.4.3/18.3.5(CE/EE)

  • CVE-2025-11702(Runner API):影響はGitLab EE
    17.1 以降 18.3.5 未満/18.4 系は 18.4.3 未満/18.5 系は 18.5.1 未満

  • CVE-2025-10497(イベント収集のDoS)17.10 以降 18.3.5 未満/18.4.3 未満/18.5.1 未満

  • CVE-2025-11447(GraphQL/JSON検証のDoS)11.0 以降 18.3.5 未満/18.4.3 未満/18.5.1 未満

  • CVE-2025-11974(アップロードのDoS)11.7 以降 18.3.5 未満/18.4.3 未満/18.5.1 未満

※リリース文面には一部でCE/EE表記や影響範囲に記述ゆれが見られます。自環境の系列(18.3/18.4/18.5)に合わせ、該当ブランチの最新パッチを適用してください。

配布形態(Omnibus、ソース、Helm等)に依存せず影響します。

大規模環境は段階適用(ステージ→限定セグメント→全体)とロールバック手順の準備を推奨します。

CVE-2025-11702の概要

Runner乗っ取り(CVE-2025-11702)は最優先で対処すべき事案です。共有Runnerや複数プロジェクト共用の運用では、CI/CD変数・クラウド資格情報・署名鍵などが連鎖的に露出する恐れがあります。

出典

GitLab Patch Release: 18.5.1, 18.4.3, 18.3.5