- GitLab estacionou CVE-2026-0723, um bug que permite ignorar 2FA e assumir controle de conta
- Vulnerabilidades adicionais de DoS em autenticação, endpoints de API, Wikia e SSH também foram corrigidas
- GitLab requer uma atualização imediata; Cerca de 6.000 instâncias de CE expostas continuam sendo alvos potenciais
O GitLab corrigiu uma vulnerabilidade crítica no Community Edition e Enterprise Edition (CE/EE) que permitia que os agentes de ameaças ignorassem a autenticação de dois fatores e assumissem o controle das contas das pessoas.
“O GitLab corrigiu um problema que poderia permitir que uma pessoa com conhecimento das credenciais de identificação da vítima contornasse a autenticação de dois fatores enviando respostas falsas de dispositivos”, disse a empresa em um comunicado de segurança.
Ele explicou que a vulnerabilidade se devia a um valor de retorno não verificado nos serviços de autenticação do GitLab. Como resultado, os invasores podem contornar o 2FA para vítimas que já conhecem suas identidades.
Uma campanha estranha
O bug é rastreado como CVE-2026-0723 e recebeu uma pontuação de gravidade alta (7,4/10).
Corrigido nas versões CE/EE 18.8.2, 18.7.2, 18.6.4.
No mesmo patch, o GitLab corrigiu dois bugs adicionais que permitiam que invasores montassem ataques de negação de serviço (DoS), enviando solicitações personalizadas com dados de autenticação incorretos e abusando da validação de autorização incorreta em endpoints de API.
Esses dois bugs permanecem como CVE-2025-13927 e CVE_2025.13928 e afetam as versões CE e EE.
O GitLab também corrigiu dois bugs DoS que poderiam ser acionados pela configuração de documentos Wiki malformados e pelo envio repetido de solicitações de autenticação SSH malformadas. Esses dois agora são rastreados como CVE-2025-13335 e CVE-2026-1102.
Falando sobre o patch mais recente, o GitLab incentivou os usuários a aplicá-lo sem hesitação:
“Essas versões contêm bugs importantes e correções de segurança, e recomendamos fortemente que você atualize todas as instalações autogerenciadas do GitLab para uma dessas versões imediatamente”, explicou o GitLab. “GitLab.com já está executando uma versão corrigida. Os clientes GitLab Dedicated não precisam realizar nenhuma ação.”
Referindo-se aos dados do Shadowserver, BipandoComputador diz que existem atualmente cerca de 6.000 instâncias do GitLab CE visíveis online, sugerindo que o cenário alvo é bastante grande.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
