GitLab khẩn cấp vá lỗ hổng nghiêm trọng, cho phép tin tặc vượt qua cơ chế xác thực 2FA
Mới đây nền tảng phát triển phần mềm phổ biến GitLab vừa tung ra bản cập nhật khẩn cấp quan trọng để vá gấp lỗ hổng nghiêm trọng, cho phép tin tặc có thể vượt qua cơ chế xác thực 2FA trên cả hai phiên bản Community và Enterprise.
Thông tin chi tiết
Định danh lỗ hổng:
CVE-2026-0723Điểm CVSS(3.1): 7.4
Mức độ nghiêm trọng: HIGH - Nghiêm trọng cao
Mô tả: Lỗ hổng trong GitLab CE/EE cho phép kẻ tấn công nếu đã biết thông tin xác thực (credential ID) của nạn nhân có thể tạo và gửi các phản hồi thiết bị giả mạo (forged device responses) để bỏ qua bước xác thực đa lớp 2FA, từ đó truy cập vào tài khoản GitLab của nạn nhân mà không cần mã xác thực hợp lệ.
Phiên bản bị ảnh hưởng:
| Sản phẩm | Phiên bản bị ảnh hưởng |
| GitLab 18.6 | Từ 18.6 đến trước 18.6.4 |
| GitLab 18.7 | Từ 18.7 đến trước 18.7.2 |
| GitLab 18.8 | Từ 18.8 đến trước 18.8.2 |
Lỗ hổng bắt nguồn từ lỗi không kiểm tra giá trị được trả về (unchecked return value) trong các dịch vụ xác thực của GitLab. Người dùng bị lộ thông tin xác thực (credential ID) trở thành mục tiêu hàng đầu bị nhắm tới bởi CVE-2026-0723 tạo cơ sở cho phép kẻ tấn công khai thác quá trình xác thực 2FA của nền tảng.
Cũng trong đợt phát hành bản vá này, đội ngũ nhà phát triển bảo mật của GitLab cũng thông báo bản vá cho hai lỗ hổng mức độ nghiêm trọng cao khác, cho phép tin tặc lợi dụng và khai thác tấn công Denial-of-Service (DoS), gây nguy cơ ngừng cung cấp dịch vụ của hệ thống:
CVE-2025-13927: Cho phép kẻ tấn công chưa được xác thực (unauthenticated attacker) kích hoạt trạng thái từ chối dịch vụ bằng cách gửi các yêu cầu độc hại chứa dữ liệu xác thực không đúng định dạng.
CVE-2025-13928: Liên quan đến việc khai thác lỗi xác thực ủy quyền không chính xác trong các API endpoints. Kẻ tấn công chưa xác thực (unauthenticated attacker) có thể gửi các yêu cầu độc hại để làm gián đoạn hoạt động của hệ thống hoặc làm sập dịch vụ tạm thời.
Khuyến nghị & Khắc phục
GitLab đã phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng CVE-2026-0723, và việc áp dụng các bản vá này cần được coi là ưu tiên khẩn cấp hàng đầu do tính chất nghiêm trọng của việc bỏ qua xác thực hai lớp (2FA). Đội ngũ FPT Threat Intelligence khuyến nghị người dùng và quản trị viên cần cân nhắc thực hiện ngay các hành động sau:
Cập nhật bản vá: Cài đặt ngay lập tức các bản cập nhật an toàn cho tất cả các hệ thống GitLab (phiên bản CE và EE) bị ảnh hưởng, bao gồm các phiên bản mới nhất như sau:
18.8.2 (dành cho nhánh 18.8)
18.7.2 (dành cho nhánh 18.7)
18.6.4 (dành cho nhánh 18.6)
Giới hạn truy cập: Hạn chế quyền truy cập vào các giao diện quản trị và trang đăng nhập của GitLab bằng cách sử dụng các quy tắc tường lửa (firewall rules), phân đoạn mạng (network segmentation) hoặc danh sách kiểm soát truy cập (ACLs).
Giám sát bảo mật: Rà soát nhật ký hệ thống (Audit Logs) để phát hiện các hoạt động đăng nhập bất thường, đặc biệt là các yêu cầu liên quan đến xác thực thiết bị (WebAuthn/FIDO) từ các địa chỉ IP lạ hoặc các chuỗi phản hồi thiết bị có dấu hiệu giả mạo.
Ngắt kết nối Internet: Tuyệt đối tránh để lộ giao diện quản trị GitLab và các cổng API ra Internet công cộng trừ khi thực sự cần thiết. Trong trường hợp bất khả kháng phải công khai, người dùng và quản trị viên cần áp dụng các biện pháp bảo vệ bổ sung như VPN, Proxy xác thực hoặc giới hạn truy cập chặt chẽ bằng danh sách IP cho phép (IP allowlists).
Rà soát danh sách thiết bị 2FA: Khuyến khích quản trị viên rà soát lại danh sách các thiết bị xác thực đã đăng ký của người dùng cấp cao (Administrator) để đảm bảo không có thiết bị lạ được thêm vào trái phép trước khi bản vá được áp dụng.
