GitLab ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่หลายรายการในแพลตฟอร์ม DevSecOps รวมถึงช่องโหว่ที่ทำให้ผู้โจมตีสามารถยึดบัญชี และแทรกโค้ดที่เป็นอันตรายลงใน pipeline ได้
โดยบริษัทได้ปล่อยเวอร์ชันอัปเดตสำหรับ GitLab Community และ Enterprise ได้แก่ เวอร์ชัน 18.0.2, 17.11.4 และ 17.10.8 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย และแนะนำให้ผู้ดูแลระบบอัปเกรดทันที
GitLab ระบุว่า "เวอร์ชันเหล่านี้มีการแก้ไข bug และช่องโหว่ด้านความปลอดภัยที่สำคัญ และขอแนะนำให้ผู้ใช้งาน GitLab แบบ self-managed ทุกคน อัปเกรดเป็นเวอร์ชันเหล่านี้ทันที โดย GitLab.com ได้ทำการรันเป็นเวอร์ชันที่มีการแก้ไขช่องโหว่แล้ว ลูกค้า GitLab Dedicated ไม่จำเป็นต้องดำเนินการใด ๆ"
เมื่อวันพุธที่ผ่านมา GitLab ได้แก้ไขช่องโหว่ HTML injection ที่มีหมายเลข CVE-2025-4278 ซึ่งทำให้ผู้โจมตีจากภายนอกสามารถยึดบัญชีผู้ใช้ได้ ด้วยการแทรกโค้ดอันตรายลงในหน้าค้นหา
นอกจากนี้ทาง GitLab ยังออกแพตช์สำหรับช่องโหว่ Missing Authorization ที่มีหมายเลข CVE-2025-5121 ซึ่งส่งผลกระทบต่อ GitLab Ultimate EE โดยสามารถทำให้ผู้โจมตีจากภายนอกแทรกโค้ด CI/CD ที่เป็นอันตรายลงใน pipeline ของโปรเจ็กต์ใด ๆ ในอนาคตได้
ระบบ GitLab pipelines เป็นฟีเจอร์ของระบบ CI/CD (Continuous Integration/Continuous Deployment) ที่ช่วยให้ผู้ใช้สร้าง, ทดสอบ หรือปรับใช้การเปลี่ยนแปลงโค้ดตามลำดับ หรือเรียกใช้กระบวนการแบบอัตโนมัติได้
อย่างไรก็ตาม การใช้ประโยชนืจากช่องโหว่นี้จะสำเร้จได้ก็ต่อเมื่อ ผู้โจมตีต้องมีสิทธิ์เข้าถึงอินสแตนซ์ GitLab ที่ผ่านการตรวจสอบสิทธิ์ด้วย GitLab Ultimate License
ทาง GitLab ยังได้แก้ไขช่องโหว่ Cross-site Scripting (XSS) ที่มีหมายเลข CVE-2025-2254 ซึ่งหากโจมตีสำเร็จ จะเปิดโอกาสให้ผู้โจมตีสามารถดำเนินการต่าง ๆ ด้วยสิทธิ์ของผู้ใช้ที่ถูกต้อง และช่องโหว่ Denial of Service (DoS) หมายเลข CVE-2025-0673 ที่สามารถทำให้เกิด redirect loop แบบไม่รู้จบ ส่งผลให้หน่วยความจำเต็ม และผู้ใช้งานไม่สามารถเข้าถึงระบบได้
GitLab repositories มักเป็นเป้าหมายของการโจมตี เนื่องจากมีข้อมูลที่มีความสำคัญเก็บไว้จำนวนมาก ซึ่งได้รับการพิสูจน์จากการเจาะระบบล่าสุด เช่น Europcar Mobility Group (บริษัทให้เช่ารถข้ามชาติ) และ Pearson (บริษัทยักษ์ใหญ่ด้านการศึกษา) ซึ่งเป็น repository ของ GitLab ที่ถูกบุกรุกตั้งแต่ช่วงต้นปีที่ผ่านมา
ปัจจุบันแพลตฟอร์ม DevSecOps ของ GitLab มีผู้ใช้งานลงทะเบียนมากกว่า 30 ล้านคน และใช้งานโดยบริษัทใน Fortune 100 กว่า 50% รวมถึง Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia และ UBS
ที่มา : bleepingcomputer
You must be logged in to post a comment.