Apa yang terjadi
GitLab Enterprise Edition versi sebelum 19.1.1, 19.0.3, dan 18.11.6 berisi kerentanan pengungkapan informasi tingkat tinggi dalam fitur AI Duo Workflows. Penyaringan output yang tidak memadai dalam komponen Duo Workflows dapat memungkinkan pengguna yang diautentikasi mengakses data sensitif — termasuk kode sumber — yang sudah di-commit ke proyek GitLab. Kelemahan ini diperbaiki pada 24 Juni 2026 dan membawa CVSS 7.7 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N).
Mengapa penting
Duo Workflows adalah asisten coding bertenaga AI GitLab yang memiliki akses mendalam ke konten repository. Penyaring output yang bingung privilege dalam fitur AI dapat diam-diam membocorkan kode sumber, rahasia, atau data konfigurasi yang di-commit ke proyek, mengubah asisten AI itu sendiri menjadi saluran exfiltration. Pengguna GitLab EE apa pun dengan izin level pengembang paling sedikit berpotensi mengakses data di luar cakupan yang dimaksud.
Vektor serangan
Penyerang yang diautentikasi dengan izin role pengembang berinteraksi dengan fitur AI Duo Workflows; penyaringan output yang tidak memadai mengekspos data sensitif yang di-commit dari proyek
Sistem yang terdampak
GitLab EE 19.1 sebelum 19.1.1; GitLab EE 19.0 sebelum 19.0.3; GitLab EE 18.11 sebelum 18.11.6
Mitigasi
Tingkatkan ke GitLab EE 19.1.1, 19.0.3, atau 18.11.6. Saran: https://docs.gitlab.com/releases/patches/patch-release-gitlab-19-1-1-released/