GitLab vừa phát hành bản vá bảo mật quy mô lớn nhằm khắc phục 11 lỗ hổng tồn tại trên cả hai nền tảng Community Edition (CE) và Enterprise Edition (EE), trong đó nổi bật là ba lỗ hổng nghiêm trọng có thể bị khai thác để thực hiện tấn công từ chối dịch vụ (DoS). Đợt cập nhật này được triển khai đồng loạt trên các phiên bản 18.0.1, 17.11.3 và 17.10.7, diễn ra trong bối cảnh nền tảng DevOps này đang phải đối mặt với nhiều hướng tấn công có thể gây mất ổn định hệ thống thông qua việc làm cạn kiệt tài nguyên, vượt qua xác thực hoặc rò rỉ dữ liệu.
Đây được xem là nỗ lực khắc phục bảo mật toàn diện nhất của GitLab trong năm 2025, ảnh hưởng đến mọi mô hình triển khai, bao gồm cả bản cài đặt omnibus, mã nguồn và helm chart. Lỗ hổng nghiêm trọng nhất mang mã CVE-2025-0993 cho phép kẻ tấn công đã xác thực khai thác điểm cuối blob lớn không được bảo vệ để làm cạn kiệt tài nguyên máy chủ, với điểm CVSS v3.1 đạt 7.5. Tất cả các bản cài đặt GitLab trước các phiên bản được vá đều bị ảnh hưởng, tạo điều kiện cho đối tượng xấu liên tục gửi dữ liệu quá khổ nhằm gây quá tải hệ thống. Nhóm bảo mật của GitLab xác nhận lỗ hổng này có thể khiến hệ thống bị gián đoạn kéo dài nếu không được bảo vệ đầy đủ.
Bên cạnh đó, hai lỗ hổng DoS mức độ trung bình cũng được phát hiện ở hệ thống tích hợp Kubernetes và chức năng định vị ghi chú. Cụ thể, CVE-2025-3111 khiến các cụm Kubernetes đối mặt với nguy cơ bị tạo token không giới hạn do thiếu kiểm tra dữ liệu đầu vào, còn CVE-2025-2853 cho phép khai thác vị trí ghi chú chưa được xác thực để làm gián đoạn dịch vụ. Các lỗ hổng này tạo thành chuỗi tấn công đa tầng, từ lớp điều phối container đến xử lý dữ liệu ở cấp ứng dụng. Ngoài ra, một lỗ hổng DoS khác xuất hiện ở tích hợp webhook Discord (CVE-2024-7803), nơi payload không hợp lệ có thể khiến các thành phần quan trọng bị sập, cho thấy bề mặt tấn công ngày càng mở rộng từ các nền tảng bên thứ ba trong môi trường DevOps.
Về mặt xác thực và bảo mật dữ liệu, bản vá còn xử lý nhiều lỗ hổng liên quan đến xác thực, nổi bật là CVE-2024-12093 – điểm yếu trong xác thực SAML cho phép vượt qua yêu cầu xác thực hai yếu tố trong một số điều kiện nhất định, ảnh hưởng đến các phiên bản từ 11.1 đến 17.10. Lỗ hổng này có thể bị lợi dụng để chiếm đoạt tài khoản thông qua phản hồi từ nhà cung cấp danh tính được chỉnh sửa. Bên cạnh đó, CVE-2025-4979 cho phép kẻ tấn công lộ biến CI/CD bị che giấu bằng cách phân tích phản hồi HTTP khi tạo biến, đe dọa rò rỉ thông tin nhạy cảm như khóa API hoặc token triển khai. Lỗ hổng CVE-2025-0679 cũng được khắc phục, ngăn chặn việc hiển thị đầy đủ địa chỉ email vốn nên được làm mờ, giảm nguy cơ tấn công lừa đảo và kỹ nghệ xã hội.
Một số lỗ hổng mức độ thấp khác bao gồm CVE-2024-9163 (gây nhầm lẫn tên nhánh trong merge request bảo mật) và CVE-2025-1110 (truy cập trái phép dữ liệu job qua truy vấn GraphQL), dù ít nghiêm trọng hơn nhưng tiếp tục cho thấy bài toán kiểm soát phân quyền vẫn còn nhiều thách thức trong quy trình DevOps phức tạp.
GitLab yêu cầu người dùng nâng cấp ngay lên các bản vá 17.10.7, 17.11.3 hoặc 18.0.1 để đảm bảo an toàn. Nền tảng này vẫn duy trì chu kỳ phát hành bản vá hai lần mỗi tháng, và đợt cập nhật lần này nằm trong lịch trình định kỳ chứ không phải phản ứng khẩn cấp. Các đội ngũ bảo mật được khuyến nghị rà soát cấu hình cụm Kubernetes, tích hợp webhook và triển khai SAML ngay cả sau khi đã cập nhật. GitLab cũng khuyến khích thiết lập danh sách cho phép outbound để bảo vệ khỏi tấn công SSRF và kiểm tra quyền truy cập biến CI/CD như biện pháp bổ sung. Đáng chú ý, bảy trong số mười một lỗ hổng lần này được phát hiện bởi các nhà nghiên cứu bên ngoài thông qua chương trình bug bounty HackerOne của GitLab.
Đối với doanh nghiệp vận hành pipeline tự động, GitLab nhấn mạnh việc xác thực hình ảnh container theo chuẩn FIPS và cập nhật cấu hình runner đồng thời với nâng cấp nền tảng lõi. Đợt cập nhật này còn trùng với các cải tiến hạ tầng như tối ưu truy vấn Elasticsearch và đồng bộ hóa phiên bản module Nginx. Trong bối cảnh các nền tảng DevOps ngày càng trở thành mục tiêu tấn công, bản vá phối hợp lần này của GitLab nhấn mạnh tầm quan trọng của quản trị lỗ hổng liên tục trong chuỗi cung ứng phần mềm hiện đại.
