✔GitLab патчит уязвимости, позволяющие обойти 2ФА и вызвать отказ в обслуживании - «Новости»

24 января 2026 0 Изображения / Новости / Вёрстка / Добавления стилей 0

Проблема с обходом 2ФА получила идентификатор CVE-2026-0723. Сообщается, что уязвимость была связана с некорректной проверкой возвращаемых значений в сервисах аутентификации GitLab. Зная ID аккаунта жертвы, атакующий мог обойти двухфакторную аутентификацию, подделав ответ устройства.

Помимо CVE-2026-0723, в GitLab CE/EE закрыли еще два критических бага. Обе проблемы позволяли неаутентифицированным злоумышленникам вызвать отказ в обслуживании (DoS): CVE-2025-13927 — с помощью отправки запросов с некорректными данными аутентификации, и CVE-2025-13928 — через эксплуатацию ошибок валидации прав доступа к API.

Также разработчики выпустили патчи для двух уязвимостей средней серьезности. Первая (CVE-2025-13335) позволяла вызвать DoS через некорректно сформированные Wiki-документы, которые обходят проверку циклических зависимостей. Вторая (CVE-2026-1102) — через повторную отправку некорректных SSH-запросов на аутентификацию.

Для устранения всех описанных багов выпущены версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition и Enterprise Edition. Разработчики настоятельно рекомендуют администраторам как можно быстрее установить эти обновления.

«Эти релизы содержат важные исправления багов и уязвимостей. Мы настоятельно рекомендуем всем, кто использует самостоятельно развернутый GitLab, немедленно обновиться до одной из этих версий», — заявили в компании.

GitLab.com уже использует исправленную версию, а клиентам GitLab Dedicated ничего делать не нужно.

По статистике Shadowserver, в настоящее время в сети доступно около 6000 экземпляров GitLab CE, а Shodan обнаруживает более 45 000 устройств, связанных с GitLab.

Согласно официальным данным, DevSecOps-платформа насчитывает свыше 30 млн зарегистрированных пользователей. Среди клиентов GitLab — более 50% компаний из Fortune 100, включая Nvidia, Airbus, T-Mobile, Lockheed Martin, Goldman Sachs и UBS.

Разработчики GitLab исправили ряд серьезных уязвимостей, включая критическую проблему с обходом двухфакторной аутентификации (2ФА), которая затрагивает как Community, так и Enterprise Edition. Проблема с обходом 2ФА получила идентификатор CVE-2026-0723. Сообщается, что уязвимость была связана с некорректной проверкой возвращаемых значений в сервисах аутентификации GitLab. Зная ID аккаунта жертвы, атакующий мог обойти двухфакторную аутентификацию, подделав ответ устройства. Помимо CVE-2026-0723, в GitLab CE/EE закрыли еще два критических бага. Обе проблемы позволяли неаутентифицированным злоумышленникам вызвать отказ в обслуживании (DoS): CVE-2025-13927 — с помощью отправки запросов с некорректными данными аутентификации, и CVE-2025-13928 — через эксплуатацию ошибок валидации прав доступа к API. Также разработчики выпустили патчи для двух уязвимостей средней серьезности. Первая (CVE-2025-13335) позволяла вызвать DoS через некорректно сформированные Wiki-документы, которые обходят проверку циклических зависимостей. Вторая (CVE-2026-1102) — через повторную отправку некорректных SSH-запросов на аутентификацию. Для устранения всех описанных багов выпущены версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition и Enterprise Edition. Разработчики настоятельно рекомендуют администраторам как можно быстрее установить эти обновления. «Эти релизы содержат важные исправления багов и уязвимостей. Мы настоятельно рекомендуем всем, кто использует самостоятельно развернутый GitLab, немедленно обновиться до одной из этих версий», — заявили в компании. GitLab.com уже использует исправленную версию, а клиентам GitLab Dedicated ничего делать не нужно. По статистике Shadowserver, в настоящее время в сети доступно около 6000 экземпляров GitLab CE, а Shodan обнаруживает более 45 000 устройств, связанных с GitLab. Согласно официальным данным, DevSecOps-платформа насчитывает свыше 30 млн зарегистрированных пользователей. Среди клиентов GitLab — более 50% компаний из Fortune 100, включая Nvidia, Airbus, T-Mobile, Lockheed Martin, Goldman Sachs и UBS.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.