MEDIUMCVE-2025-9484CVSS 4.3

GitLabにおける認証不足

Q: CVE-2025-9484 は積極的に悪用されていますか？

主に他のユーザーのメールアドレスです。

プラットフォーム

gitlab

コンポーネント

gitlab

修正版

18.8.9

18.9.5

18.10.3

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2025-9484 is a security vulnerability identified in GitLab EE that allows authenticated users to potentially access the email addresses of other users. This occurs under specific circumstances involving certain GraphQL queries, posing a privacy risk. The vulnerability impacts GitLab EE versions from 16.6.0 through 18.10.3. A patch is available in version 18.10.3.

影響と攻撃シナリオ

CVE-2025-9484 は GitLab EE に影響を与え、特定の状況下において、認証されたユーザーが特定の GraphQL クエリを通じて他のユーザーのメールアドレスにアクセスすることを可能にします。この脆弱性は、GitLab EE の 16.6 から 18.8.9 より前、18.9 から 18.9.5 より前、および 18.10 から 18.10.3 より前のバージョンに存在します。潜在的な影響は、影響を受けたユーザーのプライバシーとセキュリティリスクにつながる可能性のある、機密の個人情報の不正な開示です。脆弱性の悪用には特定の GraphQL の知識と特定の構成が必要ですが、他のユーザーの連絡先にアクセスできる可能性は重大な懸念事項です。このリスクを軽減するために、提供されたセキュリティアップデートを適用することが不可欠です。

悪用の状況

この脆弱性は、悪意のある GraphQL クエリを通じて悪用されます。適切な権限を持つ認証されたユーザーは、特定の GraphQL クエリを構築して、他のユーザーのメールアドレスを抽出できます。脆弱性の悪用には管理者権限は必要ありませんが、GraphQL の構造に関する知識と、メールフィールドを選択するクエリを記述する能力が必要です。脆弱性の悪用される可能性は、GitLab インスタンスの構成と、これらのクエリを構築するために必要な技術的専門知識を持つユーザーの存在によって異なります。GitLab は、パッチが適用されたバージョンで、GraphQL を介した機密情報へのアクセスを制限することにより、この脆弱性を軽減するための対策を講じています。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.01% (3% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントgitlab

ベンダーGitLab

影響範囲修正版

16.6 – 18.8.918.8.9

18.9 – 18.9.518.9.5

18.10 – 18.10.318.10.3

弱点分類 (CWE)

CWE-862

タイムライン

予約済み2025-08-26
公開日2026-04-08
更新日2026-04-09
EPSS 更新日2026-04-16

緩和策と回避策

CVE-2025-9484 を修正するには、GitLab EE バージョン 18.10.3 以降、またはサポートされている 18.8 または 18.9 ブランチ内の後続バージョンにアップグレードすることを強くお勧めします。このアップデートは、影響を受けた GraphQL クエリを介したメールアドレスへのアクセスを制限することで脆弱性を修正します。GitLab インスタンスのアップグレード方法に関する詳細な手順については、公式の GitLab ドキュメントを参照してください。さらに、セキュリティとアクセス許可のポリシーを確認して、承認されたユーザーのみが機密情報にアクセスできるようにしてください。このアップデートを迅速に適用することは、ユーザーのプライバシーを保護し、GitLab 環境のセキュリティを維持するために不可欠です。

修正方法翻訳中…

Actualice GitLab a la versión 18.8.9 o superior, 18.9.5 o superior, o 18.10.3 o superior. Esta actualización corrige una vulnerabilidad de autorización que permitía a usuarios autenticados acceder a las direcciones de correo electrónico de otros usuarios a través de ciertas consultas GraphQL.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-9484 とは何ですか？（GitLab）

脆弱なバージョンは、GitLab EE の 16.6 から 18.8.9 より前、18.9 から 18.9.5 より前、および 18.10 から 18.10.3 より前のバージョンです。

GitLab の CVE-2025-9484 による影響を受けていますか？

GitLab EE バージョン 18.10.3 以降、またはサポートされている 18.8 または 18.9 ブランチ内の後続バージョンにすぐにアップグレードしてください。

GitLab の CVE-2025-9484 を修正するにはどうすればよいですか？

いいえ、脆弱性の悪用には管理者権限は必要ありませんが、GraphQL の知識が必要です。

CVE-2025-9484 は積極的に悪用されていますか？