Theo đó, GitLab Community và Enterprise phiên bản 18.0.2, 17.11.4 và 17.10.8 đã được phát hành để giải quyết các lỗ hổng bảo mật này và kêu gọi tất cả quản trị viên nâng cấp ngay lập tức.

“Các phiên bản được GitLab công bố bao gồm các bản vá quan trọng và chúng tôi đặc biệt khuyến nghị tất cả các cài đặt GitLab tự quản lý nên được nâng cấp lên một trong các phiên bản này ngay lập tức. GitLab.com hiện đang chạy phiên bản đã được khắc phục. Khách hàng GitLab Dedicated không cần phải thực hiện hành động nào”, công ty đưa ra cảnh báo.

Cụ thể, GitLab đã vá một lỗ hổng HTML injection được theo dõi là CVE-2025-4278 (CVSS: 8.7), có thể cho phép kẻ tấn công từ xa chiếm quyền tài khoản bằng cách chèn mã độc vào trang tìm kiếm.

Công ty cũng đã phát hành bản vá cho lỗ hổng CVE-2025-5121 (CVSS: 8.5) ảnh hưởng đến GitLab Ultimate EE. Theo thông báo của GitLab, lỗ hổng này cho phép kẻ tấn công từ xa (với quyền truy cập đã được xác thực vào các phiên bản GitLab có giấy phép GitLab Ultimate) đưa các tác vụ CI/CD độc hại vào bất kỳ pipeline CI/CD nào của project.

Được biết, GitLab pipeline là tính năng của hệ thống CI/CD, cho phép người dùng tuần tự xây dựng, thử nghiệm hoặc triển khai các thay đổi code hoặc tự động chạy các quy trình và tác vụ song song.

Các kho lưu trữ GitLab thường là mục tiêu tấn công vì chúng chứa thông tin và dữ liệu nhạy cảm, điều này được chứng minh qua các vụ vi phạm gần đây do công ty Europcar Mobility Group và tập đoàn giáo dục Pearson báo cáo, trong đó kho lưu trữ GitLab của họ bị xâm phạm kể từ đầu năm.

Nền tảng DevSecOps của GitLab có hơn 30 triệu người dùng đã đăng ký và được hơn 50% các công ty thuộc Fortune 100 sử dụng, bao gồm Goldman Sachs, Airbus, T-Mobile, Lockheed Martin, Nvidia và UBS.