Peringatan Ancaman

GitLab merilis pembaruan keamanan penting untuk Community Edition (CE) dan Enterprise Edition (EE) guna menutup sejumlah kerentanan dengan tingkat keparahan beragam—mulai dari High hingga Medium. Celah-celah ini dapat dimanfaatkan penyerang untuk melakukan serangan cross-site scripting (XSS), denial-of-service (DoS), bypass autentikasi dua faktor, hingga kebocoran informasi sensitif dari proyek privat.

Kerentanan Utama yang Diperbaiki

CVE-2025-12029 – XSS di Swagger UI (CVSS 8.0 – High)

Celah XSS pada antarmuka Swagger UI GitLab memungkinkan penyerang tanpa autentikasi menyuntikkan skrip eksternal berbahaya. Jika pengguna mengunjungi halaman yang telah direkayasa, skrip penyerang akan dijalankan di browser korban, berpotensi mencuri sesi, melakukan tindakan tidak sah, atau mengekspos data dalam environment GitLab.

CVE-2025-12562 – DoS via GraphQL API (CVSS 7.5 – High)

Kerentanan DoS di GraphQL API yang dapat dieksploitasi dengan query berbahaya untuk membebani server hingga tidak responsif. Serangan ini dapat menyebabkan perlambatan layanan atau gangguan sementara pada instance GitLab, terutama jika query dikirim secara masif.

CVE-2025-11984 – Bypass Autentikasi WebAuthn 2FA (CVSS 6.8 – Medium)

Celah ini memungkinkan penyerang melewati verifikasi two-factor authentication (2FA) berbasis WebAuthn melalui manipulasi state sesi. Kelemahan ini merusak lapisan keamanan multi-faktor dan meningkatkan risiko kompromi akun pengguna yang seharusnya terlindungi 2FA.

CVE-2025-4097 – DoS via Upload Gambar (CVSS 6.5 – Medium)

Bug DoS yang dipicu oleh upload gambar yang direkayasa khusus. Masalah timbul dari penanganan tidak tepat oleh ExifTool saat memproses metadata gambar, yang dapat membebani sistem pemrosesan gambar hingga server GitLab menjadi tidak responsif dan layanan terganggu.

CVE-2025-14157 – DoS via Crafted API Calls (CVSS 6.5 – Medium)

Kerentanan DoS yang diaktifkan dengan mengirim API request dengan parameter konten sangat besar. Permintaan yang dirancang khusus ini dapat overload proses server, menyebabkan degradasi performa dan gangguan layanan tanpa berdampak langsung pada kerahasiaan atau integritas data.

CVE-2025-11247 – Kebocoran Informasi via GraphQL (CVSS 4.3 – Medium)

Celah kebocoran informasi yang memungkinkan pengguna terautentikasi mengakses data sensitif dari proyek privat melalui query GraphQL yang dirancang khusus. Masalah ini melibatkan bypass otorisasi melalui user-controlled key di GraphQL API, yang dapat mengekspos data proyek yang seharusnya bersifat privat.

Dampak Keseluruhan

Kombinasi kerentanan ini menciptakan berbagai vektor serangan yang dapat:

• Menginjeksi konten berbahaya dan mencuri sesi pengguna (XSS)

• Membuat layanan GitLab down atau lambat (DoS)

• Melewati proteksi 2FA dan mengambil alih akun

• Mengekspos data proyek yang seharusnya terbatas

Organisasi yang menjalankan instalasi self-managed GitLab sangat disarankan untuk segera menerapkan pembaruan guna menjaga postur keamanan dan ketersediaan layanan.

Rekomendasi Tindakan

Update segera GitLab CE/EE ke versi terbaru:

• 18.6.2 (untuk branch 18.6.x)

• 18.5.4 (untuk branch 18.5.x)

• 18.4.6 (untuk branch 18.4.x)

Langkah tambahan:

• Restart layanan GitLab setelah update untuk memastikan patch aktif

• Audit log GraphQL untuk mendeteksi query mencurigakan atau eksploitasi historis

• Review konfigurasi 2FA dan pastikan WebAuthn berfungsi normal pasca-patch

• Batasi akses API dengan rate limiting dan firewall untuk mengurangi risiko DoS

• Monitor resource usage server untuk mendeteksi dini upaya DoS via upload atau API calls

Sumber Referensi

• CyberSecurityNews: "GitLab Patches Multiple Vulnerabilities Affecting User Accounts and Server Availability" — https://cybersecuritynews.com/gitlab-patches-vulnerabilities-2/

• GitLab Security Release Blog: Informasi resmi tentang patch keamanan terbaru untuk CE/EE

Segera update untuk melindungi instance GitLab Anda dari eksploitasi! 🔒