Hacking, Security & PrivacyNewsSecurity

GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang

Photo of Ahmandonk Ahmandonk24 hours ago
0 0 1 minute read
GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang
GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang

Pada 12 Juni 2025, GitLab merilis pembaruan keamanan penting untuk versi 18.0.2, 17.11.4, dan 17.10.8 (Community & Enterprise), menambal beberapa kerentanan berisiko tinggi yang memungkinkan:

  • Pengambilalihan akun via injeksi HTML (CVE‑2025‑4278)
  • Inject CI/CD job berbahaya pada instalasi Ultimate EE (CVE‑2025‑5121)
  • Cross-site scripting (XSS) pada snippet viewer (CVE‑2025‑2254)
  • Denial of Service (DoS) melalui infinite redirect serta exploit lainnya.

GitLab menganjurkan semua admin self‑managed untuk segera upgrade, karena versi hosted (GitLab.com dan Dedicated) telah otomatis diperbarui.

🔍 Rincian Celah & Dampaknya

1. CVE‑2025‑4278 – HTML Injection / Account Takeover

  • Tingkat keparahan: High (CVSS 8.7)
  • Dimungkinkan menyerang melalui halaman pencarian, memungkinkan injeksi skrip dan pembajakan akun.

2. CVE‑2025‑5121 – Missing Authorization di Ultimate EE

  • Tingkat keparahan: High (CVSS 8.5)
  • Memungkinkan pengguna terautentikasi menyuntik CI/CD job berbahaya ke pipeline manapun.

3. CVE‑2025‑2254 – XSS di Snippet Viewer

  • Tingkat keparahan: High (CVSS 8.7)
  • Bisa dieksploitasi untuk menyerang sebagai pengguna sah.

4. CVE‑2025‑0673 – DoS via Infinite Redirect

  • Tingkat keparahan: High (CVSS 7.5)
  • Dapat menyebabkan konsumsi memori berlebihan dan gangguan layanan .

5. Beberapa DoS & Informasi Disclosure Lainnya

  • Termasuk CVE‑2025‑1516, 1478, 5195, 5982, 2024‑9512—yang rentan menyebabkan crash, bypass otorisasi, atau bocornya data sensitif.

✅ Rekomendasi untuk Admin GitLab

  1. Segera perbarui ke versi terbaru (18.0.2, 17.11.4, atau 17.10.8).
  2. Perkuat kontrol akses dan batasi user privilege, terutama pada Ultimate EE.
  3. Aktifkan MFA & otentikasi kuat, serta pastikan hanya pipeline trusted yang dijalankan.
  4. Pantau pipeline dan snippet logs untuk mendeteksi aktivitas mencurigakan.
  5. Ikuti praktik keamanan terbaik: private repo, pembatasan IP, SSL/TLS, dll.

Sumber:

Tags
Photo of Ahmandonk Ahmandonk24 hours ago
0 0 1 minute read
Photo of Ahmandonk

Ahmandonk

Ahman, yang dikenal dengan nama Ahmandonk, adalah seorang penggemar teknologi, pecinta perjalanan, dan kuliner dari Indonesia. Sejak muda, Ahman sudah tertarik dengan dunia komputer dan teknologi, yang ia bagikan melalui blog Ahmandonk.com dan saluran YouTube AhmandonkVLOG. Di blognya, Ahman sering membahas review teknologi, unboxing gadget, dan pengalaman dengan perangkat komputer, sementara di YouTube, ia berbagi vlog tentang petualangan kuliner, penerbangan, dan perjalanan. Melalui konten yang autentik dan menghibur, Ahman berusaha menginspirasi dan memberi informasi kepada audiensnya, sekaligus menunjukkan kecintaannya pada teknologi, eksplorasi, dan berbagi pengalaman.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button