GitLab, nền tảng DevSecOps phổ biến, vừa phát hành các bản cập nhật bảo mật khẩn cấp nhằm khắc phục nhiều lỗ hổng nghiêm trọng có thể bị khai thác để chiếm quyền kiểm soát tài khoản người dùng, chèn mã độc hoặc làm gián đoạn dịch vụ. Các phiên bản mới 18.0.2, 17.11.4 và 17.10.8 dành cho cả Community Edition (CE) và Enterprise Edition (EE) đều chứa các bản vá quan trọng, vì vậy GitLab khuyến nghị các quản trị viên cần nâng cấp ngay lập tức.
Những bản cập nhật này đặc biệt quan trọng đối với các tổ chức tự quản lý hệ thống GitLab. Đối với GitLab.com và khách hàng sử dụng GitLab Dedicated, các bản vá đã được áp dụng sẵn và không cần hành động thêm. Tuy nhiên, các hệ thống tự triển khai cần cập nhật để tránh nguy cơ bị tấn công.
| CVE ID | Vulnerability Type | Impacted Versions | Severity (CVSS) | Description |
|---|---|---|---|---|
| CVE-2025-4278 | HTML Injection | All versions from 18.0 before 18.0.2 | 8.7 | Allows account takeover via malicious code injection in the search page |
| CVE-2025-2254 | Cross-Site Scripting (XSS) | 17.9 before 17.10.8, 17.11 before 17.11.4, 18.0 before 18.0.2 | 8.7 | Allows malicious script execution in the snippet viewer, enabling session hijacking |
| CVE-2025-5121 | Missing Authorization | Ultimate EE: 17.11 before 17.11.4, 18.0 before 18.0.2 | 8.5 | Allows injection of malicious CI/CD jobs into all future pipelines of any project |
| CVE-2025-0673 | Denial of Service (DoS) | 17.7 before 17.10.8, 17.11 before 17.11.4, 18.0 before 18.0.2 | 7.5 | Infinite loop causes memory exhaustion, denying access to legitimate users |
| CVE-2025-1516 | DoS via Webhook Token Names | 8.7 before 17.10.8, 17.11 before 17.11.4, 18.0 before 18.0.2 | 6.5 | Large webhook token names cause resource exhaustion |
| CVE-2025-1478 | DoS via Board Names | 8.13 before 17.10.7, 17.11 before 17.11.3, 18.0 before 18.0.1 | 6.5 | Large board names cause resource exhaustion |
| CVE-2024-9512 | Information Disclosure | Prior to 17.10.8, 17.11 before 17.11.4, 18.0 before 18.0.2 | 5.3 | Private repo clone possible when secondary node is out of sync |
| CVE-2025-5195 | Authorization Bypass | 17.9 before 17.10.7, 17.11 before 17.11.3, 18.0 before 18.0.1 | 4.3 | Access to arbitrary compliance frameworks beyond privileges |
| CVE-2025-5982 | IP Restriction Bypass | EE: 12.0 before 17.10.8, 17.11 before 17.11.4, 18.0 before 18.0.2 | 3.7 | Bypass group IP restrictions to view sensitive data |
Các lỗ hổng nghiêm trọng nhất được khắc phục trong các bản vá lần này bao gồm CVE-2025-4278, cho phép kẻ tấn công chèn mã HTML độc hại vào trang tìm kiếm của GitLab. Trong một số điều kiện, lỗ hổng này có thể dẫn đến việc chiếm đoạt tài khoản thông qua thực thi mã trong phiên làm việc của nạn nhân. Điều này đặc biệt nguy hiểm vì kho GitLab thường chứa mã nguồn và cấu hình nhạy cảm, là mục tiêu hấp dẫn của tội phạm mạng.
Một vấn đề nghiêm trọng khác là CVE-2025-2254, lỗ hổng cross-site scripting (XSS) trong trình xem snippet. Kẻ tấn công có thể chèn script độc hại để chiếm quyền phiên làm việc hoặc đánh cắp dữ liệu của người dùng hợp pháp. Lỗ hổng này ảnh hưởng đến nhiều phiên bản GitLab và cần được vá ngay.
Đối với các tổ chức sử dụng GitLab Ultimate EE, CVE-2025-5121 là mối lo ngại lớn. Kẻ tấn công đã xác thực có thể chèn các job CI/CD độc hại vào tất cả pipeline trong tương lai của bất kỳ dự án nào, dẫn đến nguy cơ thực thi mã, đánh cắp dữ liệu hoặc phá hoại quy trình build và triển khai. Dù chỉ ảnh hưởng đến các hệ thống có giấy phép Ultimate, thiệt hại tiềm tàng là rất lớn.
Ngoài ra, một số lỗ hổng từ chối dịch vụ (DoS) như CVE-2025-0673, CVE-2025-1516 và CVE-2025-1478 có thể bị khai thác để làm cạn kiệt tài nguyên máy chủ, gây gián đoạn dịch vụ, đặc biệt nguy hiểm trong các môi trường yêu cầu tính sẵn sàng cao. Các bản vá cũng giải quyết các vấn đề rò rỉ thông tin (CVE-2024-9512, CVE-2025-5195) và vượt qua hạn chế IP nhóm (CVE-2025-5982), có thể cho phép truy cập trái phép vào dữ liệu nhạy cảm.
GitLab khuyến nghị tất cả hệ thống bị ảnh hưởng cần nâng cấp ngay lên phiên bản mới nhất. Các bước kỹ thuật bao gồm cập nhật GitLab theo đúng phương thức triển khai, giám sát hoạt động bất thường, đặc biệt trong pipeline CI/CD và phiên người dùng, rà soát lại quyền truy cập, và đăng ký nhận thông báo bản vá từ GitLab để luôn cập nhật kịp thời.
Với hơn 30 triệu người dùng và hơn một nửa các công ty Fortune 100 đang sử dụng, GitLab đóng vai trò trọng yếu trong phát triển và triển khai phần mềm hiện đại. Việc cập nhật kịp thời các bản vá giúp bảo vệ chuỗi phát triển phần mềm, ngăn chặn nguy cơ tấn công và đảm bảo hoạt động ổn định cho tổ chức.
