GitLab, una piattaforma di sviluppo collaborativo, ha rilasciato le patch 18.8.2, 18.7.2 e 18.6.4, che risolvono una vulnerabilità (CVE-2026-0723) che consente di bypassare l'autenticazione a due fattori (2FA). Per eseguire l'attacco, un aggressore deve conoscere l'identificativo delle credenziali della vittima. La vulnerabilità è causata dalla mancanza di una validazione adeguata del valore di ritorno nei servizi di autenticazione.
Inoltre, le nuove versioni risolvono altre quattro vulnerabilità, due delle quali sono contrassegnate come gravi. Questi problemi causano un denial of service durante l'invio di richieste appositamente predisposte al componente di integrazione Jira Connect (CVE-2025-13927), all'API Release Management (CVE-2025-13928) e a SSH (CVE-2026-1102), nonché un loop durante la creazione di un documento Wiki appositamente predisposto (CVE-2025-13335).
Si consiglia a tutti gli utenti di installare immediatamente l'aggiornamento. I dettagli del problema non sono ancora stati divulgati e saranno disponibili al pubblico 30 giorni dopo la pubblicazione della patch. Le vulnerabilità sono state segnalate a GitLab tramite il programma bug bounty HackerOne.
Fonte: opennet.ru
