Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию

22.01.2026 15:24 (MSK)

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации.

Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335).

Всем пользователям рекомендуется срочно установить обновление. Детали проблемы пока не раскрываются и станут доступны публично спустя 30 дней после публикации исправления. Сведения об уязвимостях переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей.

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64657-gitlab

Ключевые слова: gitlab

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.4, Витюшка (?), 16:04, 22/01/2026 [ответить] [﹢﹢﹢] [ · · · ]

+1 +/–

Такие новости можно уже не писать. Это даже уже не "новость". Никакого "ново". Это "новая реальность", новая эпоха IT масспродукта капитализма.

В GPL "свабодке" не лучше.

Эпоха "хакеров" давно ушла

2.5, Аноним (5), 16:16, 22/01/2026 [^] [^^] [^^^] [ответить]

+1 +/–

>Такие новости можно уже не писать.

Можно писать, хотя бы для того чтобы люди помнили, что идеального в реальном мире не существует.

>Это даже уже не "новость". Никакого "ново". Это "новая реальность", новая эпоха IT масспродукта капитализма.

Говорите, что это не "ново" и тут же употребляете слова с "ново".

>В GPL "свабодке" не лучше.

Причем тут лицензия. Смысл закатился куда-то.

>Эпоха "хакеров" давно ушла

Они тоже взрослеют, обзаводятся семьями и солидностью, и переходят работать в корпорации. Там где промышляет большой хищник нет места мелким.

3.9, Аноним (9), 16:44, 22/01/2026 [^] [^^] [^^^] [ответить]	+/–
> Говорите, что это не "ново" и тут же употребляете слова с "ново". Вот навскидку тебе: новая новость, старая новость, новая история, старая история.

2.6, Аноним (-), 16:26, 22/01/2026 [^] [^^] [^^^] [ответить]	+/–
> Эпоха "хакеров" давно ушла Как кодили какиры мы имели возможность наблюдать совсем недавно на примере сорцов Юникса. При том, что сложность и ожидания от продукта возрасли на порядки.

3.7, Я (??), 16:30, 22/01/2026 [^] [^^] [^^^] [ответить]	+/–
"Ваши ожидания - ваши проблемы" ©

3.8, Аноним (5), 16:35, 22/01/2026 [^] [^^] [^^^] [ответить]	+/–
Им приходилось писать алгоритмы для ЭВМ, которые мало отличались от автомобилей. )

1.10, Аноним (10), 16:44, 22/01/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+1 +/–

1.11, Аноним (9), 16:52, 22/01/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Уязвимость вызвана отсутствием должной проверки возвращаемого значения Кто-нибудь знает, в коде сервисов гитлаба есть rust?

2.12, Аноним (-), 16:59, 22/01/2026 [^] [^^] [^^^] [ответить]

+/–

> Кто-нибудь знает, в коде сервисов гитлаба есть rust?

Или вообще нет, или в гомеопатических дозах

Ruby 68.4%
JavaScript 19.2%
Vue 7.8%
PLpgSQL 2.2%
Haml 1.1%

gitlab.com/gitlab-org/gitlab

игнорирование участников | лог модерирования

Добавить комментарий

Текст: