GitLab ជួសជុលចំណុចខ្សោយជាច្រើនដែលអាចឱ្យមានការវាយលុក DoS និង Cross-site Scripting

ការអាប់ដេតសុវត្ថិភាពដ៏សំខាន់មួយត្រូវបានចេញផ្សាយសម្រាប់ទាំង Community Edition (CE) និង Enterprise Edition (EE) ដើម្បីដោះស្រាយភាពងាយរងគ្រោះជាច្រើនដែលមានភាពធ្ងន់ធ្ងរខ្ពស់។

បំណះទាំងនេះ ដែលមាននៅក្នុងកំណែ 18.8.4, 18.7.4 និង 18.6.6 ជួសជុលកំហុសដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារគាំងម៉ាស៊ីនមេ លួចទិន្នន័យ ឬលួចយកវគ្គអ្នកប្រើប្រាស់។

អ្នកជំនាញសន្តិសុខជំរុញឱ្យអ្នកគ្រប់គ្រងនៃឧទាហរណ៍ដែលគ្រប់គ្រងដោយខ្លួនឯងធ្វើឱ្យប្រសើរឡើងជាបន្ទាន់ ដោយកត់សម្គាល់ថា GitLab.com ត្រូវបានបំណះរួចហើយ។

ភាពងាយរងគ្រោះធ្ងន់ធ្ងរបំផុត ដែលត្រូវបានតាមដានថាជា CVE-2025-7659 (CVSS 8.0) ស្ថិតនៅក្នុង Web IDE។ កំហុសនេះពាក់ព័ន្ធនឹង "ការផ្ទៀងផ្ទាត់មិនពេញលេញ" មានន័យថាប្រព័ន្ធបរាជ័យក្នុងការផ្ទៀងផ្ទាត់ថាអ្នកណាកំពុងចូលប្រើទិន្នន័យជាក់លាក់បានត្រឹមត្រូវ។

អ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ ដែលគ្មានឈ្មោះអ្នកប្រើប្រាស់ ឬពាក្យសម្ងាត់ អាចទាញយកប្រយោជន៍ពីរឿងនេះដើម្បីលួចយកសញ្ញាសម្ងាត់ចូលប្រើ និងមើលឃ្លាំងកម្មវិធីឯកជន។

CVE-2025-8099 (CVSS 7.5) អនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើឱ្យសេវាកម្មគាំងដោយផ្ញើសំណួរម្តងហើយម្តងទៀត និងស្មុគស្មាញទៅកាន់ចំណុចប្រទាក់ GraphQL។

CVE-2026-0958 (CVSS 7.5) ទាញយកប្រយោជន៍ពីឧបករណ៍ផ្ទៀងផ្ទាត់ JSON ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្រើប្រាស់អង្គចងចាំ ឬ CPU របស់ម៉ាស៊ីនមេអស់។

ការជួសជុលដ៏សំខាន់មួយទៀតដោះស្រាយ CVE-2025-14560 (CVSS 7.3) ដែលជាចំណុចខ្សោយនៃ Cross-Site Scripting (XSS) នៅក្នុងមុខងារ "Code Flow"។ ចំណុចខ្សោយ XSS អនុញ្ញាតឱ្យអ្នកវាយប្រហារចាក់ស្គ្រីបព្យាបាទចូលទៅក្នុងគេហទំព័រដែលទុកចិត្ត។

ក្នុងករណីនេះ អ្នកវាយប្រហារអាចលាក់កូដដែលប្រតិបត្តិនៅពេលដែលអ្នកប្រើប្រាស់ផ្សេងទៀតមើលវា ដែលអាចអនុញ្ញាតឱ្យពួកគេអនុវត្តសកម្មភាពក្នុងនាមជនរងគ្រោះនោះ។

GitLab ណែនាំយ៉ាងមុតមាំថាអតិថិជនទាំងអស់ដែលកំពុងដំណើរការកំណែដែលរងផលប៉ះពាល់ត្រូវធ្វើឱ្យប្រសើរឡើងទៅបំណះចុងក្រោយបំផុតភ្លាមៗ។

ខណៈពេលដែលការអាប់ដេតនេះជួសជុលបញ្ហាសំខាន់ៗទាំងនេះ វាក៏ដោះស្រាយកំហុសកម្រិតមធ្យមមួយចំនួនផងដែរ រួមទាំងកំហុស Server-Side Request Forgery (SSRF) និង HTML injection។

អ្នកគ្រប់គ្រងគួរតែដឹងថា ការធ្វើឱ្យប្រសើរឡើងនូវ instances single-node អាចតម្រូវឱ្យមានពេលវេលារងចាំរយៈពេលខ្លីសម្រាប់ការធ្វើចំណាកស្រុកមូលដ្ឋានទិន្នន័យ។