Penjelasan teknis
GitLab Enterprise Edition mengandung kerentanan resolusi identitas pengguna yang tidak tepat dalam sistem runner alur kerja Duo AI-nya. Dalam kondisi tertentu, pengguna yang diautentikasi dapat menyebabkan alur kerja Duo AI tertentu dieksekusi dengan identitas pengguna lain, mengatasi model otorisasi yang dimaksudkan untuk operasi berbantuan AI. Flaw mempengaruhi semua versi GitLab EE dari 18.8 hingga 18.10.6, 18.11 hingga 18.11.3, dan 19.0 hingga 19.0.0. Skor CVSS 3.1 sebesar 8.2 HIGH (AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:N) menurut penilaian CNA GitLab sendiri.
Vektor serangan
Dapat diakses melalui jaringan, memerlukan hak istimewa rendah (pengguna yang diautentikasi). Penyerang memicu eksekusi alur kerja Duo AI dalam kondisi yang menyebabkan runner secara tidak benar menyelesaikan identitas pengguna, memungkinkan tindakan dikaitkan dengan dan/atau dieksekusi dengan izin pengguna lain. Kompleksitas tinggi (AC:H) menunjukkan bahwa kondisi pemicu spesifik diperlukan, meskipun dampak kerahasiaan dan integritas tinggi (C:H/I:H) dengan ruang lingkup yang berubah (S:C) menunjukkan dampak lintas penyewa atau lintas batas izin ketika dieksploitasi.
Sistem yang terdampak
Versi GitLab Enterprise Edition (EE) 18.8.0 hingga 18.10.6, 18.11.0 hingga 18.11.3, dan 19.0.0. Instans SaaS GitLab.com telah ditambal di sisi server. Penerapan GitLab EE yang dikelola sendiri memerlukan peningkatan segera.
Mitigasi
Tingkatkan ke versi yang ditambal: GitLab EE 18.10.7, 18.11.4, atau 19.0.1. Rilis patch diterbitkan 27 Mei 2026. Organisasi yang tidak dapat langsung meningkatkan harus meninjau penggunaan alur kerja Duo AI, mengaudit log aktivitas Duo AI terbaru untuk atribusi identitas yang tidak terduga, dan mempertimbangkan pembatasan sementara kemampuan alur kerja Duo AI sampai patch dapat diterapkan.