GitLab phát hành bản vá khẩn cấp cho các lỗ hổng gây rò rỉ dữ liệu

[WhiteHat Team]

GitLab kêu gọi tất cả các hệ thống GitLab tự quản lý (self-managed) nâng cấp ngay lập tức lên các phiên bản 17.9.1, 17.8.4 hoặc 17.7.6 sau khi phát hiện nhiều lỗ hổng nghiêm trọng, bao gồm các lỗi Cross-Site Scripting (XSS) có thể khiến rò rỉ dữ liệu.

​

Lỗ hổng trong Kubernetes Proxy Endpoint (CVE-2025-0475) - CVSS 8,7​

• Ảnh hưởng đến tất cả các phiên bản từ 15.10 trở đi
• Lỗ hổng này có thể cho phép kẻ tấn công chèn mã độc vào trình duyệt của người dùng, đánh cắp thông tin đăng nhập hoặc thực hiện các hành vi tấn công khác.

Lỗ hổng XSS trong Maven Dependency Proxy (CVE-2025-0555) - CVSS 7,7​

• Ảnh hưởng đến GitLab-EE phiên bản 16.6 trở đi
• Lỗ hổng này có thể cho phép kẻ tấn công vượt qua các cơ chế bảo mật và thực thi mã tùy ý trong trình duyệt trong một số điều kiện nhất định.

Ngoài 2 lỗ hổng nghiêm trọng trên, GitLab cũng đã khắc phục một số lỗi khác gồm:

• HTML Injection dẫn đến XSS (CVE-2024-8186) - CVSS 5,4: Lỗ hổng ở tính năng tìm kiếm mục con có thể dẫn đến tấn công XSS.
• Kiểm tra ủy quyền không đúng cách cho phép người dùng khách đọc chính sách bảo mật (CVE-2024-10925) - CVSS 5,3: Người dùng khách có thể đọc các tệp YAML chính sách bảo mật.
• Người dùng có quyền Planner có thể đọc phân tích Code Review trong dự án riêng tư (CVE-2025-0307) - CVSS 4,3: Người dùng có quyền hạn chế có thể truy cập dữ liệu phân tích nhạy cảm.

GitLab nhấn mạnh tất cả các hệ thống GitLab tự quản lý cần nâng cấp ngay lên các phiên bản 17.9.1, 17.8.4 hoặc 17.7.6, tùy theo phiên bản hiện tại.

Theo Security Online​

​