Trong một diễn biến quan trọng liên quan đến tin tức bảo mật mới nhất, GitLab đã phát hành các bản vá bảo mật khẩn cấp nhằm khắc phục sáu lỗ hổng nghiêm trọng trên các nền tảng Community Edition (CE) và Enterprise Edition (EE) của mình. Đáng chú ý, hai trong số đó là các lỗ hổng Cross-Site Scripting (XSS) có mức độ nghiêm trọng cao, đòi hỏi sự chú ý và hành động khắc phục ngay lập tức từ các cài đặt tự quản lý (self-managed installations).
Bản cập nhật bảo mật này, được phân phối thông qua các phiên bản 18.2.1, 18.1.3 và 18.0.5, bao gồm các bản sửa lỗi cho những lỗ hổng có khả năng cho phép truy cập trái phép vào thông tin nhạy cảm và kích hoạt thực thi script độc hại trong các kịch bản triển khai cụ thể. Việc không cập nhật kịp thời có thể dẫn đến rủi ro bảo mật hệ thống đáng kể cho các tổ chức sử dụng GitLab.
Các Lỗ Hổng Nghiêm Trọng Gây Nguy Hiểm Cao
Các vấn đề nghiêm trọng nhất được xác định trong đợt phát hành bảo mật này xoay quanh các lỗ hổng Cross-Site Scripting ảnh hưởng đến chức năng proxy Kubernetes của GitLab. Đây là những lỗ hổng CVE nguy hiểm đòi hỏi phải được ưu tiên xử lý.
CVE-2025-4700: Lỗ Hổng XSS Trong Chức Năng Proxy Kubernetes (CVSS 8.7)
CVE-2025-4700, với điểm CVSS là 8.7, đại diện cho một lỗ hổng XSS mức độ nghiêm trọng cao. Lỗ hổng này có thể cho phép những kẻ tấn công đã được xác thực (authenticated attackers) kích hoạt hiển thị nội dung không mong muốn (unintended content rendering) trong một số trường hợp cụ thể. Chức năng proxy Kubernetes trong GitLab cho phép người dùng tương tác với các cụm Kubernetes thông qua giao diện GitLab. Nếu không được bảo vệ đúng cách, khả năng chèn mã độc hại thông qua XSS có thể dẫn đến việc thực thi mã JavaScript độc hại trong trình duyệt của người dùng khác truy cập vào ứng dụng bị ảnh hưởng.
Tác động của lỗ hổng này có thể bao gồm từ việc chiếm đoạt phiên làm việc của người dùng (session hijacking), đánh cắp cookie, chuyển hướng người dùng đến các trang web độc hại, cho đến việc làm biến dạng giao diện người dùng (UI defacement) hoặc thực hiện các hành động trái phép dưới danh nghĩa người dùng hợp lệ. Mức độ nghiêm trọng của lỗ hổng được đánh giá cao do khả năng ảnh hưởng đến tính toàn vẹn và bảo mật dữ liệu người dùng trong môi trường GitLab, đặc biệt khi hệ thống được tích hợp sâu với Kubernetes.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản GitLab CE/EE từ 15.10 trở về trước so với các phiên bản đã được vá lỗi. Điều này có nghĩa là bất kỳ cài đặt GitLab CE/EE nào đang chạy phiên bản 15.10 trở lên và chưa được cập nhật lên các phiên bản vá lỗi 18.2.1, 18.1.3 hoặc 18.0.5 đều có nguy cơ bị ảnh hưởng và cần được cập nhật ngay lập tức để giảm thiểu rủi ro.
CVE-2025-4439: Lỗ Hổng XSS Ảnh Hưởng Đến Các Cài Đặt Qua CDN (CVSS 7.7)
Một lỗ hổng có mức độ nghiêm trọng cao khác, CVE-2025-4439 (CVSS 7.7), ảnh hưởng cụ thể đến các phiên bản GitLab được phục vụ thông qua một số mạng phân phối nội dung (CDN – Content Delivery Networks) nhất định. Lỗ hổng này cho phép người dùng đã được xác thực thực hiện các cuộc tấn công Cross-Site Scripting khi có các cấu hình mạng cụ thể. Việc khai thác lỗ hổng này có thể gây ra các hậu quả tương tự như CVE-2025-4700, bao gồm thực thi mã độc trong ngữ cảnh trình duyệt của người dùng bị ảnh hưởng, từ đó có thể dẫn đến đánh cắp thông tin hoặc các hành vi độc hại khác.
Tầm quan trọng của lỗ hổng này nằm ở việc nó nhắm mục tiêu vào các cài đặt GitLab sử dụng CDN, một cấu hình phổ biến để cải thiện hiệu suất và khả năng mở rộng dịch vụ. Mặc dù CDN thường giúp tăng cường bảo mật bằng cách phân tán lưu lượng và giảm thiểu các cuộc tấn công DDoS, nhưng nếu cấu hình CDN không được quản lý cẩn thận, nó có thể vô tình tạo ra một vector tấn công cho XSS. Điều này làm tăng mối đe dọa an ninh mạng đối với các môi trường triển khai lớn và phức tạp, đòi hỏi các quản trị viên phải kiểm tra kỹ lưỡng cấu hình mạng của họ.
Cả hai lỗ hổng XSS nghiêm trọng này (CVE-2025-4700 và CVE-2025-4439) đều được phát hiện và báo cáo thông qua chương trình tiền thưởng lỗi HackerOne của GitLab bởi nhà nghiên cứu bảo mật joaxcar. Điều này một lần nữa khẳng định vai trò quan trọng của cộng đồng bảo mật trong việc phát hiện và báo cáo kịp thời các lỗ hổng, góp phần nâng cao an toàn cho các ứng dụng phần mềm.
Các Lỗ Hổng Mức Trung Bình Đáng Chú Ý
Ngoài hai lỗ hổng nghiêm trọng trên, GitLab còn khắc phục bốn lỗ hổng mức độ trung bình khác, giải quyết các điểm yếu khác nhau về tiết lộ thông tin và kiểm soát truy cập. Hai trong số đó bao gồm:
CVE-2025-7001: Lộ Lọt Thông Tin Nhóm Tài Nguyên Qua API
CVE-2025-7001 ảnh hưởng đến quyền truy cập thông tin nhóm tài nguyên thông qua API của GitLab. Lỗ hổng này có khả năng cho phép những người dùng có đặc quyền (privileged users) xem dữ liệu đáng lẽ phải được giữ kín. Trong môi trường GitLab, thông tin nhóm tài nguyên có thể bao gồm các chi tiết nhạy cảm về cấu trúc dự án, quyền truy cập của các thành viên trong nhóm, hoặc các cấu hình nội bộ khác liên quan đến quản lý tài nguyên. Việc tiết lộ những thông tin này, dù chỉ cho người dùng có đặc quyền, vẫn có thể giúp kẻ tấn công thu thập thông tin tình báo quan trọng để thực hiện các cuộc tấn công tinh vi hơn, hoặc lạm dụng quyền hạn đã có.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản từ 15.0 trở đi trên cả bản phân phối Community Edition (CE) và Enterprise Edition (EE). Do phạm vi ảnh hưởng rộng, các quản trị viên cần kiểm tra kỹ lưỡng các phiên bản GitLab đang chạy của họ để đảm bảo rằng thông tin nhạy cảm được bảo vệ đúng mức.
CVE-2025-4976: Truy Cập Ghi Chú Nội Bộ Trong GitLab Duo (Chỉ EE)
Người dùng GitLab Enterprise Edition (EE) phải đối mặt với một mối lo ngại bổ sung với CVE-2025-4976. Lỗ hổng này có thể cho phép kẻ tấn công truy cập vào các ghi chú nội bộ (internal notes) trong phản hồi của GitLab Duo trong một số trường hợp nhất định. GitLab Duo là một tính năng AI được thiết kế để tăng cường năng suất và trải nghiệm người dùng bằng cách cung cấp các phản hồi thông minh và hỗ trợ. Tuy nhiên, nếu bị khai thác, việc lộ lọt các ghi chú nội bộ có thể tiết lộ thông tin nhạy cảm về quá trình phát triển, các vấn đề bảo mật chưa công bố, hoặc các cuộc thảo luận riêng tư và bí mật mà đáng lẽ không được công khai ra bên ngoài.
Lỗ hổng cụ thể cho phiên bản EE này ảnh hưởng đến các phiên bản từ 17.0 trở đi. Các tổ chức và doanh nghiệp sử dụng GitLab EE cần đặc biệt chú ý đến bản vá này để bảo vệ thông tin độc quyền và nhạy cảm của họ, đảm bảo rằng các cuộc thảo luận và ghi chú nội bộ không bị lộ ra ngoài một cách trái phép.
Khuyến Nghị và Biện Pháp Khắc Phục
GitLab khuyến nghị mạnh mẽ rằng tất cả các cài đặt tự quản lý (self-managed installations) nên nâng cấp ngay lập tức lên các phiên bản đã vá lỗi mới nhất. Việc trì hoãn cập nhật có thể khiến hệ thống của bạn tiếp tục phơi bày trước các rủi ro bảo mật đã được biết đến, tạo điều kiện cho các cuộc tấn công mạng nhằm vào các lỗ hổng đã được công bố. Các phiên bản được khuyến nghị là 18.2.1, 18.1.3 hoặc 18.0.5, tùy thuộc vào nhánh phiên bản hiện tại của bạn.
Đối với người dùng GitLab.com, các bản sửa lỗi này đã được triển khai tự động, do đó không cần thực hiện bất kỳ hành động nào. Tương tự, khách hàng GitLab Dedicated cũng không cần thực hiện hành động nào vì các bản vá đã được áp dụng tự động bởi GitLab.
Các tổ chức nên ưu tiên cập nhật các hệ thống được tiếp xúc với mạng bên ngoài, đặc biệt là những hệ thống đang sử dụng các tính năng proxy Kubernetes hoặc cấu hình CDN. Đây là những điểm yếu tiềm ẩn mà kẻ tấn công có thể nhắm đến để đạt được quyền truy cập ban đầu hoặc mở rộng tác động của cuộc tấn công trong môi trường của bạn.
Để thực hiện quy trình cập nhật, quản trị viên hệ thống nên tham khảo tài liệu chính thức của GitLab để đảm bảo tuân thủ các bước khuyến nghị. Ví dụ, đối với cài đặt Omnibus GitLab, quy trình nâng cấp cơ bản thường bao gồm:
sudo gitlab-ctl stop unicorn
sudo gitlab-ctl stop sidekiq
sudo apt update
sudo apt install gitlab-ee # hoặc gitlab-ce tùy phiên bản
sudo gitlab-ctl reconfigure
sudo gitlab-ctl start
Lưu ý rằng các lệnh trên chỉ là ví dụ minh họa và quy trình cụ thể có thể khác nhau tùy thuộc vào phương pháp cài đặt GitLab của bạn (chẳng hạn như cài đặt từ nguồn, Helm Charts cho Kubernetes, v.v.). Điều quan trọng là phải sao lưu dữ liệu hệ thống đầy đủ trước khi thực hiện bất kỳ bản cập nhật lớn nào để phòng ngừa các sự cố không mong muốn.
GitLab duy trì cam kết minh bạch bằng cách công bố thông tin chi tiết về lỗ hổng 30 ngày sau khi phát hành bản vá thông qua trình theo dõi sự cố công khai của họ. Điều này cho phép các chuyên gia bảo mật và quản trị viên hệ thống có đủ thời gian để áp dụng các bản vá trước khi thông tin khai thác chi tiết được công khai, giúp giảm thiểu rủi ro bị tấn công zero-day hoặc n-day.
Việc thường xuyên theo dõi các thông báo bảo mật từ GitLab và các nhà cung cấp phần mềm khác là rất quan trọng để duy trì một môi trường công nghệ thông tin an toàn. Việc chủ động trong việc quản lý lỗ hổng và triển khai các bản vá kịp thời là chìa khóa để bảo vệ hệ thống khỏi các mối đe dọa đang phát triển không ngừng trong không gian mạng.
