สรุปสั้น
GitLab ได้ออกอัปเดตความปลอดภัยฉุกเฉินสำหรับทั้ง Community Edition (CE) และ Enterprise Edition (EE) เพื่อแก้ไขช่องโหว่หลายตัวในส่วน Duo AI, denial-of-service (DoS) และ authorization ในเวอร์ชันล่าสุดของแพลตฟอร์ม โดยเมื่อวันที่ 27 พฤษภาคม 2569 GitLab ปล่อยเวอร์ชัน 19.0.1, 18.11.4 และ 18.10.7 เป็นแพตช์ความปลอดภัยสำหรับ instance ที่ดูแลเอง (self-managed) แพตช์ชุดนี้แก้ช่องโหว่หลายจุดทั้งใน Duo AI workflow runner, ส่วน Wiki, GraphQL WorkItem API, operations, pipeline และ endpoint การยืนยันตัวตน GitLab เร่งให้แอดมินทุกคนอัปเกรดโดยไม่ชักช้า ส่วน GitLab.com ได้รันเวอร์ชันที่แพตช์แล้ว และลูกค้า GitLab Dedicated ไม่ต้องดำเนินการใด ๆ
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 30 พฤษภาคม 2569 ว่า GitLab ได้ปล่อยแพตช์ความปลอดภัยฉุกเฉินหลายตัว โดยช่องโหว่ที่ร้ายแรงที่สุดคือบั๊กด้านการควบคุมการเข้าถึง (access control) ใน Duo AI workflow runner ที่ถูกติดตามด้วยรหัส CVE-2026-4868 ซึ่งกระทบ GitLab EE ตั้งแต่เวอร์ชัน 18.8 ขึ้นไปจนถึง (แต่ไม่รวม) 18.10.7, 18.11.4 และ 19.0.1
ภายใต้เงื่อนไขเฉพาะ ผู้ใช้ที่ผ่านการยืนยันตัวตนสามารถ trigger ให้ Duo AI workflow บางตัวทำงานภายใต้ตัวตนของผู้ใช้คนอื่นได้ เนื่องจากการ resolve ตัวตนผู้ใช้ที่ไม่ถูกต้องในตรรกะของ workflow runner มีคะแนน CVSS 3.1 อยู่ที่ 8.2 ช่องโหว่นี้อาจเปิดทางให้เกิดการเคลื่อนตัวด้านข้าง (lateral movement) หรือการใช้สิทธิ์ในทางที่ผิดภายใน workflow ที่ขับเคลื่อนด้วย AI หากไม่ได้รับการแพตช์
GitLab ยังแก้ช่องโหว่ DoS ในส่วน Wiki ที่ถูกติดตามด้วยรหัส CVE-2026-1402 (CVSS 6.5) ซึ่งกระทบ GitLab CE/EE ตั้งแต่ 17.1 จนถึง branch 18.10, 18.11 และ 19.0 ที่ยังไม่แพตช์ โดยเกิดจากการตรวจสอบ input ที่ไม่เพียงพอ ทำให้ผู้ใช้ที่ล็อกอินสามารถสร้างเนื้อหาที่ทำให้ทรัพยากรหมดและ Wiki ใช้งานไม่ได้ นอกจากนี้ CVE-2026-6713 (CVSS 5.3) แก้ปัญหาการตรวจสอบสิทธิ์ที่ไม่ถูกต้องใน GraphQL WorkItem API ที่อาจให้ผู้ใช้ที่ไม่ผ่านการยืนยันตัวตนแจกแจงโปรเจกต์ส่วนตัวได้ในบางเงื่อนไข
ยังมีช่องโหว่ระดับกลางด้าน authorization อีกหลายตัวที่ได้รับการแก้ไข ได้แก่ CVE-2026-5296 แก้การตรวจสอบสิทธิ์ที่ไม่ถูกต้องใน Duo Workflows API, CVE-2026-2601 แก้การขาดการตรวจสอบสิทธิ์ที่อาจเปิดเผยข้อมูล deployment ที่อ่อนไหวแก่ผู้ใช้ระดับ developer, CVE-2026-8716 แก้พฤติกรรมการ resolve ชื่อใน pipeline ที่อาจเข้าถึงข้อมูล CI จาก ref คนละชนิด และ CVE-2026-2710 ที่ทำให้ Project Access Token ที่ถูกบล็อกไม่สามารถเข้าถึงทรัพยากรส่วนตัวได้
รายละเอียดช่องโหว่
ช่องโหว่ทั้งหมดได้รับการแก้ไขในเวอร์ชัน 19.0.1, 18.11.4 และ 18.10.7 ซึ่งยังรวม backport ด้านเสถียรภาพและประสิทธิภาพหลายรายการ เช่น การอัปเดต zlib, nginx, Mattermost, Elasticsearch indexer และ GitLab Shell แพตช์ชุดนี้ไม่มีการเพิ่ม database migration ใหม่ และในการ deploy แบบหลายโหนดทั่วไปสามารถทยอยอัปเดตได้โดยไม่ต้องหยุดให้บริการ (zero-downtime) หากทำตามคำแนะนำของ GitLab จุดที่ต้องเฝ้าระวังเป็นพิเศษคือ CVE-2026-4868 เพราะแม้จะต้องอาศัยผู้ใช้ที่ล็อกอินอยู่ แต่การที่ workflow รันในชื่อผู้ใช้คนอื่นได้ ถือเป็นช่องทางยกระดับสิทธิ์และเคลื่อนตัวภายในระบบที่อันตราย
ผลกระทบต่อไทย
GitLab เป็นแพลตฟอร์ม DevOps และ source code management ที่องค์กรไอที บริษัทพัฒนาซอฟต์แวร์ ธนาคาร และหน่วยงานรัฐในไทยใช้งานอย่างแพร่หลาย โดยเฉพาะแบบ self-managed ที่ติดตั้งบนเซิร์ฟเวอร์ของตนเอง ฟีเจอร์ Duo AI ซึ่งเป็นผู้ช่วย AI สำหรับนักพัฒนากำลังได้รับความนิยมเพิ่มขึ้น ช่องโหว่ที่เปิดให้ workflow รันในชื่อผู้ใช้คนอื่นจึงเป็นความเสี่ยงต่อความลับของซอร์สโค้ดและ CI/CD pipeline ขององค์กรไทย เนื่องจากการโจมตีต้องอาศัยบัญชีที่ล็อกอินอยู่ ความเสี่ยงจะสูงขึ้นในองค์กรที่มีผู้ใช้จำนวนมากหรือมีบัญชีที่อาจถูกยึด องค์กรที่ใช้ GitLab self-managed ควรรีบอัปเกรดเพื่อปิดช่องทางเหล่านี้
คำแนะนำ
ผู้ดูแลระบบที่ใช้ GitLab self-managed ควรอัปเกรดเป็นเวอร์ชัน 19.0.1, 18.11.4 หรือ 18.10.7 โดยเร็วที่สุด เนื่องจากแพตช์ไม่มี database migration ใหม่จึงสามารถ deploy แบบ zero-downtime ได้ในระบบหลายโหนด ควรเฝ้าระวังการใช้งานฟีเจอร์ Duo AI และ Wiki ที่ผิดปกติ ทบทวนสิทธิ์ของบัญชีผู้ใช้และ Project Access Token ที่มีอยู่ และจำกัดการเปิดใช้ foundational flow ในระดับกลุ่มเท่าที่จำเป็น องค์กรควรปฏิบัติตามแนวทาง best practice ของ GitLab ในการรักษาความปลอดภัยของ deployment แบบ self-managed และตรวจสอบ log การยืนยันตัวตนเพื่อหาร่องรอยการใช้สิทธิ์ที่ผิดปกติ
