- GitLab, 2FA bypass’ına ve hesabın ele geçirilmesine olanak sağlayan bir kusur olan CVE-2026-0723’ü yamaladı
- Kimlik doğrulama, API uç noktaları, Wiki ve SSH’deki ek DoS güvenlik açıkları da düzeltildi
- GitLab acil yükseltmeleri teşvik ediyor; ~6.000 açığa çıkan CE örneği potansiyel hedef olmaya devam ediyor
GitLab, Community Edition ve Enterprise Edition (CE/EE) sürümlerinde, tehdit aktörlerinin iki faktörlü kimlik doğrulamayı atlamasına ve potansiyel olarak insanların hesaplarını ele geçirmesine olanak tanıyan yüksek önemdeki bir güvenlik açığını düzeltti.
“GitLab, kurbanın kimlik bilgilerine ilişkin mevcut bilgiye sahip bir kişinin bu bilgileri atlamasına olanak tanıyan bir sorunu düzeltti iki faktörlü kimlik doğrulama Şirket bir güvenlik tavsiyesinde sahte cihaz yanıtları göndererek” dedi.
Açıklandığı gibi güvenlik açığı, GitLab’ın kimlik doğrulama hizmetlerinde kontrol edilmeyen dönüş değerinden kaynaklanıyordu. Sonuç olarak saldırganlar, kimliklerini önceden bildikleri kurbanlar için 2FA’yı aşabiliyor.
Garip kampanya
Hata artık CVE-2026-0723 olarak izleniyor ve yüksek önem puanı (7,4/10) alıyor.
CE/EE’nin 18.8.2, 18.7.2, 18.6.4 sürümlerinde düzeltildi.
Aynı yamada GitLab, saldırganların hatalı biçimlendirilmiş kimlik doğrulama verileriyle özel olarak tasarlanmış istekler göndererek ve API uç noktalarında yanlış yetkilendirme doğrulamasını kötüye kullanarak hizmet reddi (DoS) saldırıları düzenlemesine olanak tanıyan iki ek hatayı da düzeltti.
Bu iki kusur, CVE-2025-13927 ve CVE_2025.13928 olarak izlenir ve hem CE hem de EE sürümlerini etkiler.
GitLab ayrıca hatalı biçimlendirilmiş Wiki belgelerinin yapılandırılması ve tekrarlanan hatalı biçimlendirilmiş SSH kimlik doğrulama isteklerinin gönderilmesiyle tetiklenebilecek iki DoS kusurunu da düzeltti. Bu ikisi artık CVE-2025-13335 ve CVE-2026-1102 olarak izleniyor.
En son yamadan bahseden GitLab, kullanıcıları tereddüt etmeden uygulamaya çağırdı:
GitLab, “Bu sürümler önemli hata ve güvenlik düzeltmeleri içeriyor ve kendi kendini yöneten tüm GitLab kurulumlarının derhal bu sürümlerden birine yükseltilmesini şiddetle tavsiye ediyoruz.” dedi. “GitLab.com zaten yamalı sürümü çalıştırıyor. GitLab Dedicated müşterilerinin herhangi bir işlem yapmasına gerek yok.”
Shadowserver verilerinden alıntı yaparak, BleepingBilgisayar şu anda çevrimiçi olarak açığa çıkan yaklaşık 6.000 GitLab CE örneğinin bulunduğunu ve hedef ortamın oldukça büyük olduğunu öne sürdüğünü söylüyor.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.