重要な脆弱性情報 脆弱性概要 CVE番号: CVE-2025-10283, CVE-2025-10284 深刻度: 中程度 (4.7)、重大 (9.6) 影響バージョン: BBOT 2.7.0 及びそれ以前のバージョン 具体的な脆弱性の詳細 CVE-2025-10283 - GitLab ドメインの混同による GitLab API キーの漏洩 説明: GitLab API キーを使用してスキャンを実行する際、BBOT ホスト上の Web サーバーが API キーを漏洩する。 修正措置: GitLab を2つのモジュールに分離する。1つはプライベート GitLab 用、もう1つは GitLab.com 用。 CVE-2025-10284 - gitdumper 及び unarchive における不適切なファイルパスのクリーンアップによる RCE 説明: - gitdumper: 悪意のある Git リポジトリをダウンロードして検証する際、RCE(リモートコード実行)を引き起こす可能性がある。 - unarchive: 特殊な形式の圧縮アーカイブ(例:.tar ファイル)が解凍される際、任意のファイルに書き込みを行い、RCE を引き起こす可能性がある。 修正措置: - Git 設定及びすべてのフックに対して積極的なクリーンアップを行う。 - 対象フォルダが既に存在する場合には、解凍プロセスを中止する。 開示タイムライン 初回開示: 2025 年 7 月 4 日 最終パッチリリース: 2025 年 9 月 11 日 CVE 公開: 2025 年 9 月 17 日 アップデートガイドライン 以下のコマンドを使用して BBOT をアップデートしてください: 脆弱性の報告方法 GitHub のセキュリティアドバイザリ機能を通じて脆弱性を報告してください: https://github.com/blacklanternsecurity/bbot/security/advisories/new