Разработчики GitLab исправили ряд серьезных уязвимостей, включая критическую проблему с обходом двухфакторной аутентификации (2ФА), которая затрагивает как Community, так и Enterprise Edition.
Проблема с обходом 2ФА получила идентификатор CVE-2026-0723. Сообщается, что уязвимость была связана с некорректной проверкой возвращаемых значений в сервисах аутентификации GitLab. Зная ID аккаунта жертвы, атакующий мог обойти двухфакторную аутентификацию, подделав ответ устройства.
Помимо CVE-2026-0723, в GitLab CE/EE закрыли еще два критических бага. Обе проблемы позволяли неаутентифицированным злоумышленникам вызвать отказ в обслуживании (DoS): CVE-2025-13927 — с помощью отправки запросов с некорректными данными аутентификации, и CVE-2025-13928 — через эксплуатацию ошибок валидации прав доступа к API.
Также разработчики выпустили патчи для двух уязвимостей средней серьезности. Первая (CVE-2025-13335) позволяла вызвать DoS через некорректно сформированные Wiki-документы, которые обходят проверку циклических зависимостей. Вторая (CVE-2026-1102) — через повторную отправку некорректных SSH-запросов на аутентификацию.
Для устранения всех описанных багов выпущены версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition и Enterprise Edition. Разработчики настоятельно рекомендуют администраторам как можно быстрее установить эти обновления.
«Эти релизы содержат важные исправления багов и уязвимостей. Мы настоятельно рекомендуем всем, кто использует самостоятельно развернутый GitLab, немедленно обновиться до одной из этих версий», — заявили в компании.
GitLab.com уже использует исправленную версию, а клиентам GitLab Dedicated ничего делать не нужно.
По статистике Shadowserver, в настоящее время в сети доступно около 6000 экземпляров GitLab CE, а Shodan обнаруживает более 45 000 устройств, связанных с GitLab.
Согласно официальным данным, DevSecOps-платформа насчитывает свыше 30 млн зарегистрированных пользователей. Среди клиентов GitLab — более 50% компаний из Fortune 100, включая Nvidia, Airbus, T-Mobile, Lockheed Martin, Goldman Sachs и UBS.
