- GitLab corrigiu CVE-2026-0723, uma falha que permite ignorar 2FA e controlar contas
- Vulnerabilidades adicionais de DoS em autenticação, endpoints de API, Wiki e SSH também foram corrigidas
- GitLab pede atualizações imediatas; Cerca de 6.000 instâncias de CE expostas continuam sendo alvos potenciais
O GitLab corrigiu uma vulnerabilidade de alta gravidade em suas versões Community Edition e Enterprise Edition (CE/EE), permitindo que os agentes de ameaças contornassem a autenticação de dois fatores e potencialmente assumissem o controle das contas das pessoas.
“O GitLab corrigiu um problema que poderia ter permitido que um indivíduo com conhecimento da identificação da credencial da vítima ignorasse autenticação de dois fatores enviando respostas de dispositivos forjados”, disse a empresa em um comunicado de segurança.
Conforme explicado, a vulnerabilidade ocorreu devido ao valor de retorno não verificado nos serviços de autenticação do GitLab. Como resultado, os invasores conseguem contornar o 2FA para vítimas cujos IDs eles conheciam antecipadamente.
Campanha estranha
O bug agora é rastreado como CVE-2026-0723 e recebeu uma pontuação de gravidade alta (7,4/10).
Foi corrigido nas versões 18.8.2, 18.7.2, 18.6.4, do CE/EE.
No mesmo patch, o GitLab também corrigiu dois bugs adicionais que permitiam que invasores montassem ataques de negação de serviço (DoS), enviando solicitações personalizadas com dados de autenticação malformados e abusando da validação de autorização incorreta em endpoints de API.
Essas duas falhas são rastreadas como CVE-2025-13927 e CVE_2025.13928 e afetam as versões CE e EE.
O GitLab também corrigiu duas falhas de DoS que podem ser acionadas pela configuração de documentos Wiki malformados e pelo envio repetido de solicitações de autenticação SSH malformadas. Esses dois agora são rastreados como CVE-2025-13335 e CVE-2026-1102.
Falando sobre o patch mais recente, o GitLab incentivou os usuários a aplicá-lo sem hesitação:
“Essas versões contêm bugs importantes e correções de segurança, e recomendamos fortemente que todas as instalações autogerenciadas do GitLab sejam atualizadas para uma dessas versões imediatamente”, explicou o GitLab. “GitLab.com já está executando a versão corrigida. Os clientes GitLab Dedicated não precisam tomar nenhuma ação.”
Citando dados do Shadowserver, BipandoComputador diz que há atualmente cerca de 6.000 instâncias do GitLab CE expostas online, sugerindo que o cenário alvo é bastante grande.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.