GitLab đã phát hành các bản vá bảo mật quan trọng để khắc phục chín lỗ hổng GitLab trên các phiên bản Community Edition (CE) và Enterprise Edition (EE). Trong số đó, có một CVE nghiêm trọng về prompt injection trong GitLab Duo, có khả năng làm lộ thông tin nhạy cảm từ các vấn đề bảo mật bí mật.

Công ty khuyến nghị tất cả các cài đặt tự quản lý nâng cấp ngay lập tức lên các phiên bản 18.5.2, 18.4.4, hoặc 18.3.6 để áp dụng bản vá bảo mật này.

Chi tiết các CVE nghiêm trọng và ảnh hưởng

Lỗ hổng Prompt Injection (CVE-2025-6945)

Lỗ hổng GitLab đáng lo ngại nhất là CVE-2025-6945, một lỗi prompt injection trong tính năng review của GitLab Duo. Lỗ hổng này cho phép người dùng đã xác thực làm rò rỉ thông tin nhạy cảm từ các vấn đề bảo mật bí mật bằng cách chèn các prompt ẩn vào các bình luận trong merge request.

Kiểu tấn công này minh họa rõ ràng cách các tính năng được hỗ trợ bởi AI có thể trở thành rủi ro bảo mật nếu quá trình kiểm tra đầu vào không được thực hiện đầy đủ.

Lỗ hổng Cross-Site Scripting (CVE-2025-11224)

Bộ bản vá bảo mật cũng bao gồm một lỗ hổng CVE nghiêm trọng khác là cross-site scripting (CVE-2025-11224) có mức độ nghiêm trọng cao trong chức năng Kubernetes proxy.

Lỗi này có thể cho phép người dùng đã xác thực thực thi các cuộc tấn công XSS được lưu trữ do việc kiểm tra đầu vào không đúng cách. Nó ảnh hưởng đến các phiên bản GitLab từ 15.10 trở đi, tạo ra một cửa sổ phơi nhiễm đáng kể cho các tổ chức đang chạy các phiên bản cũ hơn.

Các vấn đề tiết lộ thông tin (Information Disclosure)

GitLab cũng đã xử lý hai lỗ hổng GitLab tiết lộ thông tin mức độ trung bình, có thể cấp quyền truy cập trái phép vào dữ liệu nhạy cảm.

• CVE-2025-2615: Cho phép người dùng bị chặn truy cập thông tin bảo mật thông qua các GraphQL WebSocket subscriptions.
• CVE-2025-7000: Cho phép người dùng trái phép xem tên branch bảo mật bằng cách truy cập các issue của dự án có liên quan đến merge request.

Những lỗ hổng GitLab này làm nổi bật các khoảng trống trong cơ chế kiểm soát truy cập của GitLab.

Lỗ hổng Bỏ qua ủy quyền (Authorization Bypass)

Người dùng Enterprise Edition cần đặc biệt chú ý đến lỗ hổng GitLabCVE-2025-11865, một lỗi bỏ qua ủy quyền mức độ trung bình cho phép người dùng xóa các Duo workflows của người dùng khác.

Lỗ hổng này nhấn mạnh sự cần thiết phải xác thực quyền nghiêm ngặt hơn trong các hệ thống quản lý workflow.

Các lỗ hổng mức độ nghiêm trọng thấp hơn

Sáu lỗ hổng GitLab còn lại có mức độ nghiêm trọng thấp hơn nhưng vẫn cần được chú ý:

• CVE-2025-6171: Cho phép các reporter đã xác thực xem tên branch bị hạn chế và chi tiết pipeline thông qua gói API endpoint.
• CVE-2025-7736: Cho phép người dùng bỏ qua kiểm soát truy cập và truy cập nội dung GitLab Pages thông qua xác thực nhà cung cấp OAuth.
• CVE-2025-11990: Gây ra rủi ro path-traversal phía client thông qua các tham chiếu repository và điểm yếu xử lý chuyển hướng.
• CVE-2025-12983: Có thể gây ra điều kiện từ chối dịch vụ (denial-of-service) thông qua các Markdown được tạo đặc biệt với các mẫu định dạng lồng nhau.
• CVE-2024-55549 và CVE-2025-24855: Được vá thông qua cập nhật thư viện libxslt lên phiên bản 1.1.43.

Cập nhật bản vá bảo mật và khuyến nghị

GitLab khuyến nghị thực hiện hành động ngay lập tức cho tất cả các cài đặt bị ảnh hưởng. Người dùng GitLab.com đã chạy các phiên bản đã được vá, và khách hàng Dedicated không yêu cầu hành động nào.

Hầu hết các lỗ hổng đã được các nhà nghiên cứu bảo mật tham gia chương trình bug bounty của HackerOne báo cáo, nhấn mạnh giá trị của việc tiết lộ các lỗ hổng GitLab được phối hợp.

Thông tin chi tiết về các bản vá có thể được tìm thấy trong thông báo chính thức của GitLab: GitLab Patch Release 18.5.2.