GitLabとAtlassianは2025年5月、それぞれの製品群における脆弱性(CVE-2025-0993)を含む複数の脆弱性に対応するセキュリティパッチを公開しました。いずれも深刻度「高」または「中」に分類される問題が含まれており、運用中のシステムに即時のアップデート対応が推奨されています。
目次
GitLab:DoS攻撃や2FA回避など計10件の脆弱性に対処
GitLabは、Community Edition(CE)およびEnterprise Edition(EE)向けに、以下のバージョンでパッチを公開しました
-
18.0.1
-
17.11.3
-
17.10.7
主な修正内容は以下の通りです:
| 脆弱性内容 | 影響 | CVE | 深刻度 |
|---|---|---|---|
| 認証済みユーザーによるDoS(サーバリソース枯渇) | サービス停止 | CVE-2025-0993 | 高 |
| SAML認証経由での2要素認証回避 | 不正ログイン | CVE-2024-12093 | 中 |
| Discord WebhookによるDoS誘発 | システム停止 | CVE-2024-7803 | 中 |
| Kubernetes連携の入力検証不備によるDoS | サービス停止 | CVE-2025-3111 | 中 |
| マスク済み変数のUI上への露出 | 機密漏洩 | CVE-2025-4979 | 中 |
| フルメールアドレスの表示 | 個人情報漏洩 | CVE-2025-0679 | 中 |
| GraphQL経由でのジョブデータの不正閲覧 | 情報漏洩 | CVE-2025-1110 | 低 |
パッチはすでにGitLab.com上では適用済みで、Dedicatedユーザーには対応不要とされています。オンプレミス環境では早急なアップデートが強く推奨されます。
Atlassian:BambooやJira等に影響する6件の高リスク脆弱性
Atlassianは、Bamboo、Confluence、Fisheye/Crucible、Jiraの各製品におけるサードパーティコンポーネント由来の高リスク脆弱性6件を修正したことを公表しました。
主に以下のような影響があります:
-
サービス停止(DoS)
-
権限昇格
すべて外部ライブラリに起因するもので、最新バージョンへのアップデートが必要です。Atlassianは「該当製品を使用しているすべての環境で、速やかに最新版へ更新すること」を推奨しています。
共通の対応方針と推奨アクション
両社とも、今回の脆弱性に関して現時点では実際の悪用報告は確認されていないとしていますが、深刻度や影響範囲から見て事前対策が極めて重要です。
情報システム部門への推奨事項:
-
GitLab CE/EEを該当バージョンにアップデート
-
18.0系:18.0.1
-
17.11系:17.11.3
-
17.10系:17.10.7
-
-
Atlassian製品を最新版に更新(Bamboo、Jira、Confluence、Fisheye/Crucible)
-
アップデート前にバックアップの取得と動作検証を実施
-
変更管理手順に則り、リリースノートと影響調査の確認を行う
GitLabとAtlassianは、それぞれ定期的にセキュリティパッチを提供しており、アップデートを怠るとゼロデイ攻撃のリスクが高まる点にも注意が必要です。両社の公式ドキュメントやアラート通知機能の活用もおすすめです。
関連記事
GitLabのGitLab CommunityとEnterprise エディションで重大な脆弱性(CVE-2024-6385)
GitLab 重要度の高い脆弱性を修正 (CVE-2024-4835)
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
インターネットアーカイブが復旧作業中に再度ハッキングされる
IIJへの不正アクセスによるサイバー攻撃、Active! mailのゼロデイ脆弱性を悪用か(CVE-2025-42599)
Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)
PHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577)
シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082)
