製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

GitBucketにおける重要な機能に対する認証の欠如に関する脆弱性

タイトル	GitBucketにおける重要な機能に対する認証の欠如に関する脆弱性
概要	GitBucket 4.23.1には認証されていないリモートコード実行の脆弱性が存在し、攻撃者は弱いシークレットトークンの生成と安全でないファイルアップロード機能を悪用して任意のコマンドを実行できます。攻撃者はBlowfish暗号鍵をブルートフォース攻撃し、git-lfsエンドポイントを介して悪意のあるJARプラグインをアップロードし、公開されたエクスプロイトエンドポイントを通じてシステムコマンドを実行します。
想定される影響	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月17日0:00
登録日	2026年5月29日11:20
最終更新日	2026年5月29日11:20

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

GitBucket

GitBucket 4.24.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2018-25332	https://www.cve.org/CVERecord?id=CVE-2018-25332
National Vulnerability Database (NVD)
2	CVE-2018-25332	https://nvd.nist.gov/vuln/detail/CVE-2018-25332

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-306	https://cwe.mitre.org/data/definitions/306.html

ベンダー情報

No	名前	URL
VulnCheck
1	GitBucket 4.23.1 Unauthenticated Remote Code Execution \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/gitbucket-unauthenticated-remote-code-execution

その他

No	名前	URL
関連文書
1	GitBucket 4.23.1 - Remote Code Execution - Java webapps Exploit	https://www.exploit-db.com/exploits/44668
2	GitHub - gitbucket/gitbucket: A Git platform powered by Scala with easy installation, high extensibility & GitHub API compatibility GitHub	https://github.com/gitbucket/gitbucket

変更履歴

No	変更内容	変更日
1	[2026年05月29日] 掲載	2026年5月29日11:20

NVD脆弱性情報

CVE-2018-25332

概要	GitBucket 4.23.1 contains an unauthenticated remote code execution vulnerability that allows attackers to execute arbitrary commands by exploiting weak secret token generation and insecure file upload functionality. Attackers can brute-force the Blowfish encryption key, upload a malicious JAR plugin via the git-lfs endpoint, and execute system commands through an exposed exploit endpoint.
公表日	2026年5月17日22:16
登録日	2026年5月18日4:11
最終更新日	2026年5月19日5:16

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/gitbucket/gitbucket	disclosure@vulncheck.com
2	https://security.szurek.pl/	disclosure@vulncheck.com
3	https://www.exploit-db.com/exploits/44668	disclosure@vulncheck.com
4	https://www.vulncheck.com/advisories/gitbucket-unauthenticated-remote-code-execution	disclosure@vulncheck.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html