Pada 12 Juni 2025, GitLab merilis pembaruan keamanan penting untuk versi 18.0.2, 17.11.4, dan 17.10.8 (Community & Enterprise), menambal beberapa kerentanan berisiko tinggi yang memungkinkan:
- Pengambilalihan akun via injeksi HTML (CVE‑2025‑4278)
- Inject CI/CD job berbahaya pada instalasi Ultimate EE (CVE‑2025‑5121)
- Cross-site scripting (XSS) pada snippet viewer (CVE‑2025‑2254)
- Denial of Service (DoS) melalui infinite redirect serta exploit lainnya.
GitLab menganjurkan semua admin self‑managed untuk segera upgrade, karena versi hosted (GitLab.com dan Dedicated) telah otomatis diperbarui.
🔍 Rincian Celah & Dampaknya
1. CVE‑2025‑4278 – HTML Injection / Account Takeover
- Tingkat keparahan: High (CVSS 8.7)
- Dimungkinkan menyerang melalui halaman pencarian, memungkinkan injeksi skrip dan pembajakan akun.
2. CVE‑2025‑5121 – Missing Authorization di Ultimate EE
- Tingkat keparahan: High (CVSS 8.5)
- Memungkinkan pengguna terautentikasi menyuntik CI/CD job berbahaya ke pipeline manapun.
3. CVE‑2025‑2254 – XSS di Snippet Viewer
- Tingkat keparahan: High (CVSS 8.7)
- Bisa dieksploitasi untuk menyerang sebagai pengguna sah.
4. CVE‑2025‑0673 – DoS via Infinite Redirect
- Tingkat keparahan: High (CVSS 7.5)
- Dapat menyebabkan konsumsi memori berlebihan dan gangguan layanan .
5. Beberapa DoS & Informasi Disclosure Lainnya
- Termasuk CVE‑2025‑1516, 1478, 5195, 5982, 2024‑9512—yang rentan menyebabkan crash, bypass otorisasi, atau bocornya data sensitif.
✅ Rekomendasi untuk Admin GitLab
- Segera perbarui ke versi terbaru (18.0.2, 17.11.4, atau 17.10.8).
- Perkuat kontrol akses dan batasi user privilege, terutama pada Ultimate EE.
- Aktifkan MFA & otentikasi kuat, serta pastikan hanya pipeline trusted yang dijalankan.
- Pantau pipeline dan snippet logs untuk mendeteksi aktivitas mencurigakan.
- Ikuti praktik keamanan terbaik: private repo, pembatasan IP, SSL/TLS, dll.
Sumber:
- BleepingComputer – GitLab patches high severity account takeover, missing auth issues – https://www.bleepingcomputer.com
- GitLab official patch release (18.0.2, 17.11.4, 17.10.8) – https://about.gitlab.com
- CSO Online – Unpatched holes could allow takeover of GitLab accounts – https://www.csoonline.com