O GitLab corrigiu uma falha crítica que permitia contornar a autenticação de dois fatores (2FA) nas edições Community e Enterprise de sua plataforma de desenvolvimento de software.
Identificada como CVE-2026-0723, a vulnerabilidade é causada por uma falha na validação das respostas nos serviços de autenticação do GitLab.
Isso possibilitava que atacantes, mesmo sem acesso completo, contornassem a 2FA ao conhecerem o ID da conta alvo.
De acordo com a empresa, "um indivíduo com conhecimento prévio do ID da credencial da vítima poderia burlar a autenticação de dois fatores ao submeter respostas forjadas de dispositivos".
A correção já foi implementada para eliminar essa brecha.
Além desse problema, o GitLab corrigiu outras duas falhas graves que afetam as versões CE e EE.
Uma delas permitiria ataques de negação de serviço (DoS) por meio do envio de requisições malformadas com dados de autenticação incorretos (CVE-2025-13927).
A outra envolvia uma validação incorreta de autorização em endpoints da API, que também poderia ser explorada para DoS (CVE-2025-13928).
Foram corrigidas ainda duas vulnerabilidades de severidade média que também causam DoS: a primeira ocorre ao processar documentos Wiki mal formatados que burlam a detecção de ciclos (CVE-2025-13335), e a segunda se manifesta com o envio repetido de requisições SSH malformadas para autenticação (CVE-2026-1102).
Para mitigar todos esses riscos, o GitLab lançou as versões 18.8.2, 18.7.2 e 18.6.4 para as edições Community e Enterprise, recomendando que os administradores atualizem suas instalações o quanto antes.
“Essas versões trazem correções importantes de bugs e segurança.
Recomendamos fortemente que todas as instalações self-managed do GitLab sejam atualizadas imediatamente.
O GitLab.com já está operando com a versão corrigida, e clientes do GitLab Dedicated não precisam tomar nenhuma ação”, afirmou a empresa.
Monitoramento da internet realizado pela Shadowserver indica que quase 6.000 instâncias do GitLab CE estão expostas publicamente, enquanto a plataforma Shodan identificou mais de 45.000 dispositivos com a assinatura do GitLab.
Em junho de 2025, o GitLab também corrigiu vulnerabilidades críticas relacionadas a takeover de contas e ausência de autenticação, reforçando a necessidade de atualização imediata.
Atualmente, o GitLab afirma contar com mais de 30 milhões de usuários registrados em sua plataforma DevSecOps, usada por mais da metade das empresas da Fortune 100, incluindo nomes como Nvidia, Airbus, T-Mobile, Lockheed Martin, Goldman Sachs e UBS.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...