Tin tức bảo mật về GitLab cho thấy hãng vừa phát hành bản vá khẩn cấp cho Community Edition (CE) và Enterprise Edition (EE), xử lý nhiều lỗi lỗ hổng CVE liên quan đến Duo AI, từ chối dịch vụ và kiểm soát truy cập trong các phiên bản gần đây của nền tảng.
Các phiên bản đã được phát hành
Ngày 27/05/2026, GitLab công bố các bản 19.0.1, 18.11.4 và 18.10.7 như các bản cập nhật bảo mật cho hệ thống tự quản trị. GitLab.com đã chạy phiên bản đã vá, trong khi khách hàng GitLab Dedicated không cần thực hiện thêm hành động nào.
Theo thông tin từ GitLab, quản trị viên nên ưu tiên cập nhật ngay để giảm rủi ro bảo mật trên các phiên bản bị ảnh hưởng. Tham khảo thêm thông báo liên quan tại NVD.
Lỗ hổng CVE nghiêm trọng trong Duo AI Workflow Runners
Lỗi nghiêm trọng nhất là CVE-2026-4868, một lỗ hổng CVE mức độ cao trong Duo AI workflow runners của GitLab EE. Lỗ hổng này ảnh hưởng đến các phiên bản từ 18.8 đến trước 18.10.7, 18.11.4 và 19.0.1.
Trong điều kiện cụ thể, một người dùng đã xác thực có thể kích hoạt một số workflow của Duo AI chạy dưới danh tính của người dùng khác do cơ chế phân giải danh tính không chính xác trong logic của workflow runner. Mức CVSS 3.1 được ghi nhận là 8.2.
Đây là dạng cảnh báo CVE có thể dẫn đến chiếm quyền điều khiển ở mức logic ứng dụng, làm phát sinh khả năng di chuyển ngang hoặc lạm dụng đặc quyền trong các workflow có hỗ trợ AI nếu chưa được vá.
Lỗ hổng từ chối dịch vụ trong Wiki
GitLab cũng đã khắc phục một lỗ hổng CVE gây từ chối dịch vụ trong thành phần Wiki, được theo dõi với mã CVE-2026-1402. Lỗi này ảnh hưởng đến GitLab CE/EE từ nhánh 17.1 đến trước các bản chưa vá thuộc 18.10, 18.11 và 19.0.
Do kiểm tra đầu vào không đầy đủ, một người dùng đã xác thực có thể tạo nội dung làm cạn kiệt tài nguyên hệ thống và khiến Wiki không thể truy cập. Mức CVSS của lỗi này là 6.5.
Kiểm soát truy cập không đúng trong GraphQL WorkItem API
Một lỗ hổng CVE khác là CVE-2026-6713, liên quan đến kiểm tra phân quyền không chính xác trong GraphQL WorkItem API. Trong một số điều kiện, lỗi này có thể cho phép người dùng chưa xác thực liệt kê các dự án riêng tư.
Mức độ ảnh hưởng của cảnh báo CVE này được xếp hạng 5.3 theo thang CVSS. Dù không ở mức nghiêm trọng nhất, nó vẫn tạo ra nguy cơ bảo mật đối với dữ liệu dự án riêng tư và kiểm soát truy cập API.
Các lỗi phân quyền trong operations và Duo features
Ngoài các lỗi chính, GitLab đã sửa nhiều vấn đề phân quyền mức trung bình trong operations và Duo features. Các bản vá này tập trung vào việc ngăn người dùng có vai trò thấp hơn truy cập dữ liệu hoặc vượt qua giới hạn chức năng.
CVE-2026-5296 trong Duo Workflows API
CVE-2026-5296 khắc phục lỗi phân quyền không đúng trong Duo Workflows API. Khi foundational flows được bật ở cấp nhóm, người dùng có vai trò developer có thể vượt qua các hạn chế luồng xử lý.
Đây là một lỗ hổng CVE liên quan trực tiếp đến kiểm soát truy cập trong quy trình tự động hóa. Trong môi trường sử dụng AI workflow, việc vá lỗi là cần thiết để tránh xâm nhập trái phép vào luồng xử lý nội bộ.
CVE-2026-2601 và dữ liệu triển khai
CVE-2026-2601 sửa lỗi thiếu kiểm tra phân quyền có thể làm lộ dữ liệu triển khai nhạy cảm cho người dùng cấp developer. Với các hệ thống CI/CD, dữ liệu này có thể phản ánh cấu hình vận hành và trạng thái triển khai nội bộ.
CVE-2026-8716 trong pipelines
CVE-2026-8716 khắc phục hành vi phân giải tên không chính xác trong pipelines. Lỗi này có thể cho phép truy cập dữ liệu CI từ một loại ref khác, làm tăng rủi ro bảo mật đối với thông tin pipeline.
CVE-2026-2710 liên quan đến Project Access Tokens
CVE-2026-2710 đảm bảo các Project Access Tokens đã bị chặn không thể truy cập tài nguyên riêng tư thông qua một số điểm cuối xác thực. Đây là bản sửa quan trọng trong nhóm lỗ hổng CVE liên quan đến cơ chế xác thực và ủy quyền.
Phạm vi ảnh hưởng của các bản vá
Tất cả các lỗi nêu trên đều được xử lý trong các phiên bản 19.0.1, 18.11.4 và 18.10.7. Ngoài phần bảo mật, các bản cập nhật còn bao gồm nhiều backport về ổn định và hiệu năng cho zlib, nginx, Mattermost, Elasticsearch indexer và GitLab Shell.
Các bản cập nhật này không tạo migration cơ sở dữ liệu mới. Trong triển khai nhiều node, hệ thống có thể được nâng cấp không gián đoạn nếu tuân thủ hướng dẫn zero-downtime của GitLab.
Hướng dẫn cập nhật và kiểm tra rủi ro
Với các tổ chức đang chạy phiên bản bị ảnh hưởng, cần ưu tiên cập nhật bản vá bảo mật càng sớm càng tốt. Đây là bước quan trọng để giảm thiểu lỗ hổng CVE trong các thành phần Duo AI, Wiki, GraphQL và authentication endpoints.
Quản trị viên cũng nên theo dõi dấu hiệu lạm dụng các tính năng Duo AI và Wiki, đồng thời rà soát quyền truy cập của các tài khoản developer, token và các luồng CI/CD liên quan đến dữ liệu nhạy cảm.
Danh sách lỗi đã được khắc phục
- CVE-2026-4868 – Lỗi phân giải danh tính trong Duo AI workflow runners, CVSS 8.2.
- CVE-2026-1402 – Từ chối dịch vụ trong Wiki, CVSS 6.5.
- CVE-2026-6713 – Kiểm soát truy cập sai trong GraphQL WorkItem API, CVSS 5.3.
- CVE-2026-5296 – Phân quyền không đúng trong Duo Workflows API.
- CVE-2026-2601 – Thiếu kiểm tra phân quyền với dữ liệu triển khai.
- CVE-2026-8716 – Hành vi phân giải tên không đúng trong pipelines.
- CVE-2026-2710 – Project Access Tokens bị chặn vẫn có thể truy cập tài nguyên riêng tư qua một số endpoint xác thực.
Điểm cần lưu ý khi triển khai
- Ưu tiên cập nhật lên 19.0.1, 18.11.4 hoặc 18.10.7.
- Kiểm tra các workflow Duo AI có liên quan đến phân quyền người dùng.
- Giám sát hoạt động Wiki bất thường để phát hiện phát hiện tấn công kiểu gây cạn tài nguyên.
- Rà soát quyền truy cập của token, developer role và dữ liệu CI/CD.
- Áp dụng hướng dẫn zero-downtime khi triển khai đa node.
