Компания GitLab устранила серьёзную уязвимость, позволявшую обходить двухфакторную аутентификацию в сообществах и корпоративных версиях своей платформы для разработки программного обеспечения.
Эта уязвимость, обозначенная как CVE-2026-0723, связана с отсутствием проверки возвращаемого значения в службах аутентификации GitLab, что позволяет злоумышленникам, знающим идентификатор учётной записи жертвы, обходить двухфакторную аутентификацию.
«GitLab устранила проблему, из-за которой злоумышленник, знающий идентификатор учётной записи жертвы, мог обойти двухфакторную аутентификацию, отправив поддельные ответы с устройства», — пояснила компания.
GitLab также устранил две серьёзные уязвимости в GitLab CE/EE, которые могли позволить злоумышленникам без аутентификации вызывать состояния отказа в обслуживании (DoS), отправляя специально сформированные запросы с некорректными данными аутентификации (CVE-2025-13927) и используя неправильную проверку авторизации в конечных точках API (CVE-2025-13928).
Кроме того, были устранены две уязвимости средней степени опасности, связанные с DoS-атаками, которые можно было использовать, настроив неправильно сформированные документы Wiki таким образом, чтобы они обходили циклическое обнаружение (CVE-2025-13335), и отправляя повторяющиеся неправильно сформированные запросы на аутентификацию по SSH (CVE-2026-1102).
Чтобы устранить эти уязвимости в системе безопасности, компания выпустила версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition (CE) и Enterprise Edition (EE) и рекомендовала администраторам как можно скорее перейти на последнюю версию.
«Эти версии содержат важные исправления ошибок и уязвимостей, и мы настоятельно рекомендуем всем пользователям, самостоятельно устанавливающим GitLab, немедленно обновиться до одной из этих версий», — добавили в GitLab. «На GitLab.com уже установлена исправленная версия. Клиентам GitLab Dedicated не нужно предпринимать никаких действий.»
Служба мониторинга интернет-безопасности Shadowserver в настоящее время отслеживает почти 6000 открытых онлайн-экземпляров GitLab CE, в то время как Shodan обнаружил более 45 000 устройств с отпечатком GitLab.
В июне 2025 года GitLab также устранил серьёзные проблемы с захватом учётных записей и отсутствием аутентификации, призвав клиентов немедленно обновить свои системы.
По данным GitLab, на платформе DevSecOps зарегистрировано более 30 миллионов пользователей, и её используют более 50 % компаний из списка Fortune 100, в том числе Nvidia, Airbus, T-Mobile, Lockheed Martin, Goldman Sachs и UBS.