GitLab vừa công bố các bản cập nhật bảo mật 18.7.1, 18.6.3 và 18.5.5 nhằm xử lý danh sách dài các lỗ hổng nghiêm trọng, từ thực thi mã JavaScript trái phép đến sai sót phân quyền trong hệ thống AI Duo Workflows. Việc nâng cấp sớm là yêu cầu bắt buộc đối với các quản trị viên hệ thống self-managed để ngăn chặn nguy cơ tin tặc chiếm quyền điều khiển trình duyệt người dùng hoặc thay đổi cấu hình hạ tầng AI nhạy cảm.

Đợt cập nhật lần này tập trung giải quyết các khiếm khuyết trong các tính năng cốt lõi như GitLab Flavored Markdown, Web IDE và các endpoint AI GraphQL. Đáng chú ý nhất là lỗ hổng Stored XSS (CVE-2025-9222) với số điểm 8.7, cho phép hacker nhúng mã độc trực tiếp vào Markdown để thực thi trên trình duyệt của người dùng. Bên cạnh đó, các sai sót trong cơ chế ủy quyền cũng khiến tính năng AI Duo Workflows trở nên mong manh, khi người dùng có đặc quyền thấp có thể truy cập hoặc sửa đổi các thiết lập mô hình AI vượt quá phạm vi cho phép.

Dưới đây là chi tiết các lỗ hổng bảo mật quan trọng được khắc phục trong đợt này:

GitLab nhấn mạnh rằng các lỗ hổng này đe dọa trực tiếp đến tính toàn vẹn của dữ liệu dự án và tính bảo mật của cấu hình hệ thống. Đặc biệt, lỗi rò rỉ thông tin qua Mermaid diagram hoặc việc người dùng có thể gỡ bỏ project runner trái phép có thể gây gián đoạn nghiêm trọng quy trình CI/CD của doanh nghiệp.

Để đảm bảo an toàn, các quản trị viên được khuyến cáo thực hiện nâng cấp ngay lập tức lên các bản vá mới nhất. Với các instance single-node, người dùng cần lưu ý sẽ có khoảng thời gian gián đoạn dịch vụ nhất định do quá trình migration cơ sở dữ liệu. Trong khi đó, các môi trường multi-node có thể áp dụng quy trình zero-downtime để duy trì hoạt động liên tục. Ngoài việc nâng cấp, GitLab cũng khuyến nghị tăng cường giám sát các hoạt động bất thường và thắt chặt quyền truy cập từ bên ngoài để tối ưu hóa khả năng bảo mật.