GitLab đã phát hành các bản vá bảo mật khẩn cấp cho các phiên bản Community Edition (CE) và Enterprise Edition (EE) để khắc phục một loạt các lỗ hổng CVE nghiêm trọng. Các phiên bản mới 18.9.2, 18.8.6 và 18.7.6 đã sửa tổng cộng 15 vấn đề bảo mật.

Những vấn đề này bao gồm các lỗ hổng CVE Cross-Site Scripting (XSS) và Denial-of-Service (DoS) ở mức độ nghiêm trọng cao. Các quản trị viên của các cài đặt tự quản lý được khuyến nghị áp dụng các bản vá này ngay lập tức để duy trì an ninh mạng và bảo vệ môi trường của họ.

Tổng quan về các Lỗ hổng CVE nghiêm trọng

Vấn đề nghiêm trọng nhất được khắc phục trong bản phát hành này là CVE-2026-1090, một lỗ hổng CVE XSS với điểm CVSS 8.7 (High).

Lỗi này tồn tại trong quá trình xử lý Markdown placeholder của GitLab khi tính năng Markdown placeholders được kích hoạt. Kẻ tấn công đã xác thực có thể bỏ qua các kiểm tra làm sạch để chèn mã JavaScript độc hại vào trình duyệt của nạn nhân. Điều này có thể dẫn đến các hành động trái phép hoặc chiếm đoạt phiên làm việc.

Ngoài ra, GitLab cũng đã vá ba lỗ hổng CVE DoS có mức độ nghiêm trọng cao. Những lỗi này có thể cho phép kẻ tấn công chưa xác thực làm gián đoạn các dịch vụ quan trọng.

Chi tiết các Lỗ hổng Denial-of-Service (DoS)

Một lỗ hổng CVE trong API GraphQL cho phép các yêu cầu được tạo thủ công gây ra đệ quy không kiểm soát và cạn kiệt tài nguyên hệ thống. Các yêu cầu độc hại gửi đến các endpoint lưu trữ kho lưu trữ cũng có thể kích hoạt tấn công từ chối dịch vụ trong các điều kiện cụ thể.

Hơn nữa, việc xác thực không đúng các payload JSON trong API Protected Branches có thể dễ dàng bị khai thác để làm sập dịch vụ. Các bản vá bảo mật này cũng giải quyết một số lỗi mức độ trung bình và thấp.

Các bản sửa lỗi đáng chú ý bao gồm khắc phục rủi ro DoS trong các webhook custom headers (CVE-2025-13690) và webhook endpoints (CVE-2025-12576).

Bản vá cũng vô hiệu hóa các chuỗi CRLF không đúng (CVE-2026-3848) và sửa lỗi kiểm soát truy cập trong API Runners (CVE-2025-12555). Lỗi này có thể cho phép truy cập trái phép vào thông tin công việc pipeline trước đó.

Các lỗi tiết lộ thông tin ảnh hưởng đến các vấn đề bảo mật bí mật cũng đã được khắc phục thành công. Bản cập nhật bảo mật này xử lý một số lỗ hổng CVE cụ thể mà quản trị viên cần theo dõi.

Danh sách CVE và Mức độ nghiêm trọng

• CVE-2026-1090: Lỗ hổng CVE Cross-Site Scripting (XSS) trong quá trình xử lý Markdown placeholder, điểm CVSS 8.7 (High).
• CVE-2026-1069: Lỗ hổng CVE Denial-of-Service (DoS) ảnh hưởng đến API GraphQL, điểm CVSS 7.5 (High).
• CVE-2025-13929: Lỗ hổng CVE Denial-of-Service (DoS) ảnh hưởng đến repository archive endpoint, điểm CVSS 7.5 (High).
• CVE-2025-14513: Lỗ hổng CVE Denial-of-Service (DoS) ảnh hưởng đến Protected Branches API, điểm CVSS 7.5 (High).
• CVE-2025-13690: Lỗ hổng CVE Denial-of-Service (DoS) trong webhook custom headers, điểm CVSS 6.5 (Medium).
• CVE-2025-12576: Lỗ hổng CVE Denial-of-Service (DoS) trong webhook endpoint, điểm CVSS 6.5 (Medium).
• CVE-2026-3848: Chuỗi CRLF không đúng có thể dẫn đến các vấn đề bảo mật.
• CVE-2025-12555: Lỗi kiểm soát truy cập trong API Runners, có thể dẫn đến tiết lộ thông tin.

Khuyến nghị và Hành động Khắc phục

Để đảm bảo liên tục dịch vụ và bảo vệ dữ liệu, các tổ chức phải hành động ngay lập tức. Cần cập nhật tất cả các cài đặt GitLab CE và EE tự quản lý lên các phiên bản 18.9.2, 18.8.6 hoặc 18.7.6. Đây là bước quan trọng để giải quyết các lỗ hổng CVE đã được công bố.

Trong quá trình nâng cấp, các phiên bản cài đặt một node sẽ gặp thời gian ngừng hoạt động ngắn khi quá trình di chuyển cơ sở dữ liệu hoàn tất. Ngược lại, các thiết lập đa node có thể sử dụng quy trình nâng cấp không ngừng hoạt động.

Người dùng trên GitLab.com và GitLab Dedicated đã và đang chạy các phiên bản đã được vá lỗi, do đó không yêu cầu hành động quản trị nào. Các báo cáo chi tiết về lỗ hổng CVE sẽ được công bố công khai trên hệ thống theo dõi vấn đề của GitLab 30 ngày sau bản phát hành vá lỗi này.

Để biết thêm thông tin chi tiết về các bản cập nhật và hướng dẫn vá lỗi, vui lòng tham khảo thông báo phát hành chính thức của GitLab.