CVE ID: CVE-2025-9118
CVSS v4.0: 10.0 (Kritis)
Tanggal Publikasi: 25 Agustus 2025

Ringkasan

Terdapat kerentanan path traversal yang sangat kritis pada proses instalasi paket NPM di Google Cloud Dataform. Seorang penyerang remote yang tidak terautentikasi dapat membuat file ‎`package.json` berbahaya untuk membaca dan menulis pada repository pelanggan lain. Hal ini membuka peluang akses tidak sah atau modifikasi data sensitif antar tenant. Google telah merilis patch untuk masalah ini, sehingga tidak diperlukan tindakan lebih lanjut dari pelanggan.

Versi yang Terpengaruh

• Lingkungan Google Cloud Dataform yang menggunakan mekanisme instalasi paket NPM sebelum update keamanan 21 Agustus 2025 (GCP-2025-045).

Detail Kerentanan

• Jenis: Path traversal (CWE-22) saat instalasi paket NPM

• Deskripsi: File ‎`package.json` yang telah dimodifikasi dapat melewati pembatasan path, sehingga penyerang bisa membaca dan menulis pada repository pelanggan lain.

• Eksploitasi: Dapat dilakukan secara remote, tanpa autentikasi, dan tanpa interaksi pengguna.

• Dampak: Risiko tinggi terhadap kerahasiaan dan integritas data, termasuk potensi akses tidak sah dan perubahan data.

Tindakan yang Direkomendasikan

• Tidak diperlukan aksi dari pelanggan — Google telah mengimplementasikan mitigasi penuh pada seluruh layanan Dataform sesuai buletin GCP-2025-045.

TTP Mapping (MITRE ATT&CK)

• Initial Access / Execution: Path traversal melalui file ‎`package.json` berbahaya saat instalasi NPM (CWE-22)