NewsSecurity

GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang

Photo of Ahmandonk AhmandonkJune 13, 2025
0 8 1 minute read
GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang
GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang

Pada 12 Juni 2025, GitLab merilis pembaruan keamanan penting untuk versi 18.0.2, 17.11.4, dan 17.10.8 (Community & Enterprise), menambal beberapa kerentanan berisiko tinggi yang memungkinkan:

  • Pengambilalihan akun via injeksi HTML (CVE‑2025‑4278)
  • Inject CI/CD job berbahaya pada instalasi Ultimate EE (CVE‑2025‑5121)
  • Cross-site scripting (XSS) pada snippet viewer (CVE‑2025‑2254)
  • Denial of Service (DoS) melalui infinite redirect serta exploit lainnya.

GitLab menganjurkan semua admin self‑managed untuk segera upgrade, karena versi hosted (GitLab.com dan Dedicated) telah otomatis diperbarui.

🔍 Rincian Celah & Dampaknya

1. CVE‑2025‑4278 – HTML Injection / Account Takeover

  • Tingkat keparahan: High (CVSS 8.7)
  • Dimungkinkan menyerang melalui halaman pencarian, memungkinkan injeksi skrip dan pembajakan akun.

2. CVE‑2025‑5121 – Missing Authorization di Ultimate EE

  • Tingkat keparahan: High (CVSS 8.5)
  • Memungkinkan pengguna terautentikasi menyuntik CI/CD job berbahaya ke pipeline manapun.

3. CVE‑2025‑2254 – XSS di Snippet Viewer

  • Tingkat keparahan: High (CVSS 8.7)
  • Bisa dieksploitasi untuk menyerang sebagai pengguna sah.

4. CVE‑2025‑0673 – DoS via Infinite Redirect

  • Tingkat keparahan: High (CVSS 7.5)
  • Dapat menyebabkan konsumsi memori berlebihan dan gangguan layanan .

5. Beberapa DoS & Informasi Disclosure Lainnya

  • Termasuk CVE‑2025‑1516, 1478, 5195, 5982, 2024‑9512—yang rentan menyebabkan crash, bypass otorisasi, atau bocornya data sensitif.

✅ Rekomendasi untuk Admin GitLab

  1. Segera perbarui ke versi terbaru (18.0.2, 17.11.4, atau 17.10.8).
  2. Perkuat kontrol akses dan batasi user privilege, terutama pada Ultimate EE.
  3. Aktifkan MFA & otentikasi kuat, serta pastikan hanya pipeline trusted yang dijalankan.
  4. Pantau pipeline dan snippet logs untuk mendeteksi aktivitas mencurigakan.
  5. Ikuti praktik keamanan terbaik: private repo, pembatasan IP, SSL/TLS, dll.

Sumber:

Photo of Ahmandonk AhmandonkJune 13, 2025
0 8 1 minute read
Photo of Ahmandonk

Ahmandonk

Ahman, dikenal sebagai Ahmandonk, adalah content creator asal Indonesia yang gemar berbagi seputar teknologi, perjalanan, kuliner, dan aviasi. Lewat blog Ahmandonk.com dan kanal YouTube AhmandonkVLOG, ia membagikan review gadget, unboxing, vlog perjalanan, dan pengalaman kuliner, dengan gaya yang santai dan informatif.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button