Penjelasan teknis
GitLab Enterprise Edition mengandung kerentanan resolusi identitas pengguna yang tidak tepat dalam sistem runner workflow Duo AI-nya. Dalam kondisi tertentu, pengguna terautentikasi dapat menyebabkan workflow Duo AI spesifik dijalankan dengan identitas pengguna lain, memotong model otorisasi yang dimaksudkan untuk operasi berbantuan AI. Kerentanan ini memengaruhi semua versi GitLab EE dari 18.8 hingga 18.10.6, 18.11 hingga 18.11.3, dan 19.0 hingga 19.0.0. Skor CVSS 3.1 sebesar 8.2 HIGH (AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N) menurut penilaian CNA GitLab sendiri.
Vektor serangan
Dapat diakses jaringan, memerlukan hak istimewa rendah (pengguna terautentikasi). Penyerang memicu eksekusi workflow Duo AI dalam kondisi yang menyebabkan runner salah menyelesaikan identitas pengguna, memungkinkan tindakan diatribusikan ke dan/atau dijalankan dengan izin pengguna lain. Kompleksitas tinggi (AC:H) menunjukkan kondisi pemicu spesifik diperlukan, meskipun dampak kerahasiaan dan integritas tinggi (C:H/I:H) dengan perubahan scope (S:C) mengindikasikan dampak lintas-tenant atau lintas-batas-izin ketika dieksploitasi.
Sistem yang terdampak
Versi GitLab Enterprise Edition (EE) 18.8.0 hingga 18.10.6, 18.11.0 hingga 18.11.3, dan 19.0.0. Instans GitLab.com SaaS telah diperbaiki di sisi server. Deployment GitLab EE yang dikelola sendiri memerlukan upgrade segera.
Mitigasi
Upgrade ke versi yang diperbaiki: GitLab EE 18.10.7, 18.11.4, atau 19.0.1. Rilis patch diterbitkan 27 Mei 2026. Organisasi yang tidak dapat segera upgrade harus meninjau penggunaan workflow Duo AI, mengaudit log aktivitas Duo AI terbaru untuk atribusi identitas yang tidak terduga, dan mempertimbangkan pembatasan sementara kemampuan workflow Duo AI hingga patch dapat diterapkan.