สรุปสั้น
บริษัท GitLab ได้ปล่อยอัปเดตความปลอดภัยให้ทั้ง Community Edition (CE) และ Enterprise Edition (EE) เพื่อปิดช่องโหว่รวมทั้งสิ้น 13 รายการ ในจำนวนนี้มี 3 รายการที่จัดอยู่ในระดับความรุนแรงสูง โดยช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2026-10086 ซึ่งเป็นช่องโหว่ Cross-Site Scripting (XSS) ใน Analytics dashboard ของ GitLab EE ที่เกิดจากการกรองข้อมูลที่ผู้ใช้ป้อนเข้ามาไม่เหมาะสม ทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนและมีสิทธิ์ระดับ developer สามารถรันโค้ดฝั่ง client ในบริบทของ session ผู้ใช้รายอื่นได้ ตามมาด้วย CVE-2026-10712 ซึ่งเป็น XSS ใน Web IDE ที่ผู้โจมตีแบบไม่ต้องยืนยันตัวตน (unauthenticated) ก็ใช้ประโยชน์ได้ และ CVE-2026-12053 ที่เปิดช่องให้เข้าถึงข้อมูลสำคัญที่ commit ไว้ในโปรเจกต์แล้ว
นอกจากสามช่องโหว่ระดับสูง อัปเดตชุดนี้ยังปิดช่องโหว่ระดับกลางอีก 7 รายการ ครอบคลุมปัญหา authorization bypass การตรวจสอบสิทธิ์ที่ผิดพลาด และการตรวจสอบ input ที่ไม่รัดกุม ซึ่งหากถูกใช้ประโยชน์อาจนำไปสู่การแก้ไขการตั้งค่า การเปิดเผยข้อมูลลับ และการดึงความลับออกจากระบบ GitLab ได้รวมแพตช์ทั้งหมดไว้ในเวอร์ชัน CE/EE 19.1.1, 19.0.3 และ 18.11.6 พร้อมแนะนำอย่างหนักแน่นให้ผู้ที่ติดตั้ง GitLab แบบ self-managed รีบอัปเดตโดยเร็วที่สุด ส่วน GitLab.com นั้นได้รันเวอร์ชันที่แพตช์แล้วเรียบร้อย ความรุนแรงของช่องโหว่ชุดนี้สำคัญต่อทีมพัฒนาเพราะ GitLab เป็นแพลตฟอร์ม DevSecOps ที่เก็บซอร์สโค้ดและ secret จำนวนมาก
รายละเอียดข่าว
เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 25 มิถุนายน พ.ศ. 2569 ว่า บริษัท GitLab ได้ปล่อยอัปเดตความปลอดภัยสำหรับทั้ง Community Edition และ Enterprise Edition เพื่อแก้ไขช่องโหว่จำนวน 13 รายการ ซึ่งรวมถึงบั๊กระดับความรุนแรงสูง 3 รายการ โดยช่องโหว่ที่ร้ายแรงที่สุดคือ CVE-2026-10086 ซึ่งเป็นช่องโหว่ XSS ใน Analytics dashboard ของ GitLab EE มีต้นตอจากการ sanitize ข้อมูลที่ผู้ใช้ป้อนเข้ามาอย่างไม่เหมาะสม
ตามข้อมูลของ GitLab ช่องโหว่ CVE-2026-10086 อาจเปิดทางให้ผู้ใช้ที่ผ่านการยืนยันตัวตนและมีสิทธิ์ระดับ developer สามารถรันโค้ดฝั่ง client โดยพลการในบริบทของ session ผู้ใช้รายอื่นได้ ลำดับถัดมาคือ CVE-2026-10712 ซึ่งเป็นช่องโหว่ XSS ในส่วน asset handler ของ Web IDE workbench ที่อันตรายกว่าเพราะผู้โจมตีแบบ unauthenticated สามารถรันโค้ด JavaScript ใน session เบราว์เซอร์ของผู้ใช้ได้โดยไม่ต้องล็อกอิน ส่วนช่องโหว่ระดับสูงตัวที่สามคือ CVE-2026-12053 ซึ่งอธิบายว่าเป็นการกรอง output ที่ไม่เพียงพอใน Duo Workflows ทำให้ผู้ใช้สามารถเข้าถึงข้อมูลสำคัญที่ถูก commit ไว้ในโปรเจกต์แล้วได้
อัปเดต CE/EE ชุดใหม่นี้ยังแก้ไขช่องโหว่ระดับกลางอีก 7 รายการ ซึ่งรวมถึง authorization bypass, incorrect authorization, insufficient filtering, improper input validation และ improper access control โดย GitLab ระบุว่าการใช้ประโยชน์จากบั๊กเหล่านี้สำเร็จอาจนำไปสู่การปลอมแปลงการตั้งค่า การเปิดเผยข้อมูลลับ การดึง DAST site profile secret การเขียนข้อมูลสำคัญลง log การปกปิดเนื้อหา การเขียนทับ metadata ของแพ็กเกจ Maven และการเปิดเผย metadata ของแพ็กเกจ
รายละเอียดช่องโหว่
แพตช์สำหรับช่องโหว่ทั้งหมดถูกรวมไว้ใน GitLab CE/EE เวอร์ชัน 19.1.1, 19.0.3 และ 18.11.6 โดย GitLab แนะนำให้ผู้ใช้อัปเดตการติดตั้งของตนโดยเร็วที่สุด พร้อมระบุในประกาศว่า “เวอร์ชันเหล่านี้มีการแก้ไขบั๊กและความปลอดภัยที่สำคัญ และเราขอแนะนำอย่างหนักแน่นให้การติดตั้ง GitLab แบบ self-managed ทั้งหมดอัปเกรดเป็นหนึ่งในเวอร์ชันเหล่านี้ทันที ส่วน GitLab.com นั้นกำลังรันเวอร์ชันที่แพตช์แล้ว”
จุดที่ต้องให้ความสำคัญเป็นพิเศษคือ CVE-2026-10712 เพราะเป็น XSS ที่ผู้โจมตีไม่จำเป็นต้องมีบัญชีหรือสิทธิ์ใด ๆ ก็สามารถยิงโค้ด JavaScript เข้าไปทำงานในเบราว์เซอร์ของผู้ใช้รายอื่นได้ ทำให้มีโอกาสถูกใช้เป็นจุดเริ่มต้นของการขโมย session token หรือทำ phishing ภายในแพลตฟอร์ม ขณะที่ CVE-2026-10086 แม้จะต้องมีสิทธิ์ developer แต่ในองค์กรที่มีผู้ใช้จำนวนมากและการบริหารสิทธิ์ไม่รัดกุม ก็ถือเป็นความเสี่ยงต่อการยกระดับการโจมตีภายในได้เช่นกัน ส่วน CVE-2026-12053 ใน Duo Workflows สะท้อนว่าฟีเจอร์ที่เกี่ยวข้องกับ AI/automation ก็เป็นพื้นผิวการโจมตีใหม่ที่ต้องเฝ้าระวัง
ผลกระทบต่อไทย
GitLab เป็นแพลตฟอร์มที่องค์กรไทยจำนวนมากใช้เป็นศูนย์กลางในการจัดเก็บซอร์สโค้ด บริหารโปรเจกต์ และวาง CI/CD pipeline ทั้งในภาคธุรกิจ สตาร์ตอัป และหน่วยงานราชการ การมีช่องโหว่ XSS ที่ผู้โจมตีแบบไม่ต้องยืนยันตัวตนใช้ประโยชน์ได้ ทำให้ทีม DevOps และผู้ดูแลระบบ GitLab ในไทยที่ติดตั้งแบบ self-managed มีความเสี่ยงโดยตรง โดยเฉพาะองค์กรที่เปิด instance ให้เข้าถึงจากภายนอกหรือยังไม่ได้อัปเดตเป็นเวอร์ชันล่าสุด เพราะหากซอร์สโค้ดหรือ secret ใน repository รั่วไหล อาจลุกลามไปสู่การโจมตี supply chain ที่กระทบทั้งระบบที่พัฒนาขึ้น
คำแนะนำ
ผู้ดูแลระบบ GitLab แบบ self-managed ควรอัปเกรดเป็นเวอร์ชัน 19.1.1, 19.0.3 หรือ 18.11.6 โดยเร็วที่สุดตามคำแนะนำของ GitLab และตรวจสอบว่า instance ที่เปิดให้เข้าถึงจากอินเทอร์เน็ตได้รับการแพตช์แล้ว ควรทบทวนสิทธิ์ผู้ใช้โดยเฉพาะสิทธิ์ระดับ developer ตามหลัก least privilege ปิดหรือจำกัดการเข้าถึง Web IDE หากไม่จำเป็น และตรวจสอบ log การเข้าถึงที่ผิดปกติ รวมถึงพิจารณาเปิดใช้งาน 2FA สำหรับบัญชีทั้งหมด เพื่อลดความเสี่ยงจากการถูกขโมย session ที่อาจเกิดจากการใช้ประโยชน์ช่องโหว่ XSS
