Peringatan Ancaman

GitLab baru saja meluncurkan pembaruan keamanan penting untuk versi Community Edition dan Enterprise Edition setelah ditemukan beberapa kerentanan serius dengan potensi dampak luas. Masalah meliputi eskalasi hak akses pada pipeline CI/CD, serangan Denial of Service (DoS) tanpa autentikasi, bypass autentikasi, hingga kebocoran informasi sensitif.

Kerentanan paling berbahaya adalah CVE-2024-9183, sebuah race condition pada cache CI/CD yang memungkinkan pengguna terautentikasi memperoleh kredensial dengan hak akses lebih tinggi, sehingga bisa melakukan aksi tidak sah pada sistem. Skor keparahan kerentanan ini adalah 7.7.

Selain itu, ada pula CVE-2025-12571 yang memungkinkan penyerang tanpa autentikasi menyerang GitLab dengan input JSON yang rusak, menyebabkan server crash (DoS). CVE-2025-12653 mengizinkan bypass autentikasi untuk bergabung ke organisasi mana saja dengan memanipulasi header permintaan.

Kerentanan lainnya seperti CVE-2025-7449 dapat memicu DoS oleh pengguna terautentikasi saat memproses respons HTTP. Juga ditemukan beberapa isu kebocoran data di fitur keamanan pada versi Enterprise dan log token Terraform.

GitLab mengimbau semua administrator segera mengupdate sistem ke versi terbaru 18.6.1, 18.5.3, atau 18.4.5 agar terlindung dari potensi eksploitasi.

Pembaruan cepat sangat penting untuk menjaga stabilitas layanan dan keamanan pipeline CI/CD agar tidak disusupi atau terganggu. Pengguna juga disarankan mengawasi aktivitas tidak biasa dan memperkuat kontrol akses.

Sumber:

• SecurityOnline.info: GitLab Patch Fixes CI/CD Credential Theft, Unauthenticated DoS Attacks https://securityonline.info/gitlab-patch-fixes-ci-cd-credential-theft-unauthenticated-dos-attacks/