Himbauan Keamanan Siber


Bandung 23 April 2026 - GitLab secara resmi merilis serangkaian pembaruan keamanan penting untuk dua edisi platformnya: Community Edition (CE) dan Enterprise Edition (EE). Pembaruan ini menutup kerentanan serius,dari high-severity hingga low-severity.

Kerentanan yang ditemukan

Tiga kerentanan berklasifikasi tinggi menjadi perhatian utama dalam patch ini:

  • CVE-2026-4922
  • CVE-2026-5816
  • CVE-2026-5262

Di luar kerentanan tinggi, beberapa masalah dengan tingkat keparahan sedang sedang ditindaklanjuti. Endpoint diskusi, impor Jira, catatan, dan GraphQL API semuanya ditemukan rentan terhadap serangan Denial of Service (DoS). Selain itu, ditemukan pula kebocoran privat (CVE-2026-5377), bypass pengaturan fork proyek (CVE-2025-9957), dan kredensial Virtual Registry yang masih aktif meski seharusnya sudah dicabut (CVE-2026-6515).

Letak masalah utamanya

Sebagian besar kerentanan ini berakar pada dua hal: perlindungan CSRF yang tidak memadai pada lapisan API, serta tidak adanya sanitasi yang cukup terhadap data masukan dari pengguna. Kombinasi keduanya menciptakan permukaan serangan yang luas — dari manipulasi data hingga eksekusi kode di sisi klien.

Versi yang terdampak dan perbaikannya

Terdampak Sudah diperbaiki

Sebelum 18.9.6 / 18.10.4 / 18.11.1 18.9.6 · 18.10.4 · 18.11.1

Langkah yang perlu segera dilakukan:

  1. Perbarui instalasi GitLab ke versi 18.9.6, 18.10.4, atau 18.11.1 sesuai jalur versi yang sedang berjalan.
  2. Periksa log akses untuk mendeteksi aktivitas mencurigakan yang mungkin terjadi sebelum patch diterapkan, terutama pada endpoint GraphQL dan Web IDE.
  3. Audit kredensial Virtual Registry yang ada — pastikan tidak ada token atau kredensial yang sudah dicabut namun masih memiliki akses aktif.
  4. Jika pembaruan tidak dapat langsung dilakukan, batasi akses jaringan ke instans GitLab sebagai langkah mitigasi sementara.
  5. Terapkan pemantauan berkelanjutan pada endpoint kritis dan aktifkan notifikasi untuk pola permintaan yang tidak wajar.

Sumber: https://docs.gitlab.com/releases/patches/patch-release-gitlab-18-11-1-released/