NewsSecurity

GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang

June 13, 2025
1 minute read
GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang
GitLab Perbaiki Celah Tinggi: Akun Bisa Diambilalih dan Autentikasi Hilang

Pada 12 Juni 2025, GitLab merilis pembaruan keamanan penting untuk versi 18.0.2, 17.11.4, dan 17.10.8 (Community & Enterprise), menambal beberapa kerentanan berisiko tinggi yang memungkinkan:

  • Pengambilalihan akun via injeksi HTML (CVE‑2025‑4278)
  • Inject CI/CD job berbahaya pada instalasi Ultimate EE (CVE‑2025‑5121)
  • Cross-site scripting (XSS) pada snippet viewer (CVE‑2025‑2254)
  • Denial of Service (DoS) melalui infinite redirect serta exploit lainnya.

GitLab menganjurkan semua admin self‑managed untuk segera upgrade, karena versi hosted (GitLab.com dan Dedicated) telah otomatis diperbarui.

🔍 Rincian Celah & Dampaknya

1. CVE‑2025‑4278 – HTML Injection / Account Takeover

  • Tingkat keparahan: High (CVSS 8.7)
  • Dimungkinkan menyerang melalui halaman pencarian, memungkinkan injeksi skrip dan pembajakan akun.

2. CVE‑2025‑5121 – Missing Authorization di Ultimate EE

  • Tingkat keparahan: High (CVSS 8.5)
  • Memungkinkan pengguna terautentikasi menyuntik CI/CD job berbahaya ke pipeline manapun.

3. CVE‑2025‑2254 – XSS di Snippet Viewer

  • Tingkat keparahan: High (CVSS 8.7)
  • Bisa dieksploitasi untuk menyerang sebagai pengguna sah.

4. CVE‑2025‑0673 – DoS via Infinite Redirect

  • Tingkat keparahan: High (CVSS 7.5)
  • Dapat menyebabkan konsumsi memori berlebihan dan gangguan layanan .

5. Beberapa DoS & Informasi Disclosure Lainnya

  • Termasuk CVE‑2025‑1516, 1478, 5195, 5982, 2024‑9512—yang rentan menyebabkan crash, bypass otorisasi, atau bocornya data sensitif.

✅ Rekomendasi untuk Admin GitLab

  1. Segera perbarui ke versi terbaru (18.0.2, 17.11.4, atau 17.10.8).
  2. Perkuat kontrol akses dan batasi user privilege, terutama pada Ultimate EE.
  3. Aktifkan MFA & otentikasi kuat, serta pastikan hanya pipeline trusted yang dijalankan.
  4. Pantau pipeline dan snippet logs untuk mendeteksi aktivitas mencurigakan.
  5. Ikuti praktik keamanan terbaik: private repo, pembatasan IP, SSL/TLS, dll.

Sumber:

June 13, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button