GitLab đã phát hành các bản vá bảo mật quan trọng nhằm khắc phục bốn lỗ hổng, bao gồm một lỗ hổng Cross-Site Scripting (XSS) có mức độ nghiêm trọng cao. Các lỗ hổng này có thể cho phép kẻ tấn công thực hiện các hành động độc hại nhân danh người dùng thông qua việc tiêm nội dung (content injection).
Công ty đã ban hành các bản phát hành vá lỗi 18.1.2, 18.0.4 và 17.11.6 cho cả Phiên bản Cộng đồng (Community Edition – CE) và Phiên bản Doanh nghiệp (Enterprise Edition – EE). GitLab khuyến nghị mạnh mẽ việc nâng cấp ngay lập tức cho tất cả các cài đặt tự quản lý (self-managed installations).
Chi tiết Lỗ hổng Bảo mật
Lỗ hổng Cross-Site Scripting (XSS) nghiêm trọng (CVE-2025-6948)
- Mã CVE: CVE-2025-6948
- Điểm CVSS: 8.7 (Mức độ nghiêm trọng cao)
- Mô tả: Đây là một lỗ hổng Cross-Site Scripting có thể cho phép kẻ tấn công thực thi các hành động độc hại nhân danh người dùng. Tấn công thành công xảy ra khi kẻ tấn công có khả năng tiêm nội dung độc hại vào môi trường GitLab dưới những điều kiện nhất định.
- Ảnh hưởng: Lỗ hổng này có khả năng dẫn đến việc chiếm đoạt hoàn toàn phiên làm việc của người dùng (complete compromise of user sessions) và thực hiện các hành động trái phép trong môi trường GitLab. Mức độ nghiêm trọng cao của nó bắt nguồn từ nguy cơ này.
- Phiên bản bị ảnh hưởng: Tất cả các phiên bản GitLab CE/EE từ 17.11 trước 17.11.6, 18.0 trước 18.0.4, và 18.1 trước 18.1.2.
- Phát hiện: Lỗ hổng này được nhà nghiên cứu bảo mật yvvdwf phát hiện thông qua chương trình tiền thưởng lỗi (bug bounty program) HackerOne của GitLab.
Lỗ hổng Cơ chế Ủy quyền (Authorization)
Ba lỗ hổng bổ sung liên quan đến các cơ chế ủy quyền không đúng (improper authorization mechanisms). Các lỗ hổng này có thể cho phép người dùng đã xác thực (authenticated users) bỏ qua nhiều hạn chế cấp nhóm (group-level restrictions).
CVE-2025-3396 (Mức độ Trung bình)
- Mã CVE: CVE-2025-3396
- Điểm CVSS: 4.3 (Mức độ trung bình)
- Mô tả: Lỗ hổng này cho phép chủ sở hữu dự án đã xác thực (authenticated project owners) vượt qua các hạn chế phân nhánh (forking restrictions) ở cấp nhóm thông qua việc thao túng API (API manipulation).
- Phiên bản bị ảnh hưởng: Tất cả các phiên bản GitLab CE/EE. Lỗ hổng này đã tồn tại kể từ phiên bản 13.3, cho thấy mức độ phổ biến rộng rãi của nó trên các cài đặt GitLab.
- Ảnh hưởng: Người dùng có đặc quyền nhất định có thể bỏ qua các kiểm soát bảo mật được thiết lập ở cấp nhóm, có khả năng dẫn đến việc rò rỉ dữ liệu hoặc thao túng cấu hình ngoài ý muốn.
Lỗ hổng Ủy quyền mức thấp (CVE-2025-4972 và CVE-2025-6168)
Hai lỗ hổng ủy quyền có mức độ nghiêm trọng thấp này chỉ ảnh hưởng đến GitLab EE.
- Mã CVE: CVE-2025-4972 và CVE-2025-6168
- Điểm CVSS: 2.7 (Mức độ thấp cho mỗi lỗ hổng)
- Mô tả: Các lỗ hổng này cho phép người dùng đã xác thực với các đặc quyền cụ thể bỏ qua các hạn chế mời người dùng cấp nhóm (group-level user invitation restrictions). Việc này có thể được thực hiện thông qua các yêu cầu API được tạo riêng (crafted API requests) hoặc thao túng chức năng mời nhóm.
- Phiên bản bị ảnh hưởng: Chỉ các phiên bản GitLab EE.
- Ảnh hưởng: Mặc dù mức độ nghiêm trọng thấp, việc bỏ qua các hạn chế mời người dùng có thể dẫn đến việc thêm người dùng không mong muốn vào một nhóm hoặc dự án, làm suy yếu kiểm soát truy cập và khả năng quản lý người dùng.
Cập nhật và Khuyến nghị
GitLab khuyến nghị mạnh mẽ các tổ chức và quản trị viên nên nâng cấp ngay lập tức lên các bản phát hành vá lỗi mới nhất cho tất cả các cài đặt bị ảnh hưởng. Việc ưu tiên các bản cập nhật này là cần thiết để duy trì tư thế bảo mật mạnh mẽ và bảo vệ chống lại khả năng khai thác các lỗ hổng đã nêu.
- GitLab.com: Đã triển khai các bản vá.
- Khách hàng GitLab Dedicated: Không yêu cầu hành động nào.
Theo chính sách công bố thông tin có trách nhiệm (responsible disclosure) của mình, GitLab sẽ công bố chi tiết các lỗ hổng sau 30 ngày kể từ ngày phát hành bản vá.
Ngoài ra, GitLab cũng đã cập nhật rsync lên phiên bản 3.4.1. Bản cập nhật này khắc phục các lỗ hổng bảo mật CVE-2024-12084 và CVE-2024-12088.
