- GitLab menambal CVE-2026-0723, kelemahan yang memungkinkan bypass 2FA dan pengambilalihan akun
- Kerentanan DoS tambahan dalam otentikasi, titik akhir API, Wiki, dan SSH juga telah diperbaiki
- GitLab mendesak peningkatan segera; ~6.000 kasus CE yang terekspos tetap menjadi target potensial
GitLab memperbaiki kerentanan tingkat tinggi pada versi Edisi Komunitas dan Edisi Perusahaan (CE/EE) yang memungkinkan pelaku ancaman melewati autentikasi dua faktor dan berpotensi mengambil alih akun orang.
“GitLab telah memperbaiki masalah yang memungkinkan seseorang yang sudah mengetahui ID kredensial korban untuk melewati otentikasi dua faktor dengan mengirimkan tanggapan perangkat palsu,” kata perusahaan itu dalam sebuah penasehat keamanan.
Seperti yang dijelaskan, kerentanan ini disebabkan oleh nilai pengembalian yang tidak dicentang di layanan otentikasi GitLab. Hasilnya, penyerang dapat menggunakan 2FA untuk korban yang ID-nya mereka ketahui sebelumnya.
Kampanye yang aneh
Bug tersebut sekarang dilacak sebagai CVE-2026-0723 dan diberi skor tingkat keparahan tinggi (7.4/10).
Ini telah diperbaiki di versi 18.8.2, 18.7.2, 18.6.4, CE/EE.
Dalam patch yang sama, GitLab juga memperbaiki dua bug tambahan yang memungkinkan penyerang melakukan serangan penolakan layanan (DoS) dengan mengirimkan permintaan khusus dengan data autentikasi yang salah, dan menyalahgunakan validasi otorisasi yang salah di titik akhir API.
Kedua kelemahan ini dilacak sebagai CVE-2025-13927, dan CVE_2025.13928, dan memengaruhi versi CE dan EE.
GitLab juga menambal dua kelemahan DoS yang dapat dipicu oleh konfigurasi dokumen Wiki yang salah format dan mengirimkan permintaan autentikasi SSH yang salah secara berulang. Keduanya kini dilacak sebagai CVE-2025-13335 dan CVE-2026-1102.
Berbicara tentang patch terbaru, GitLab mendesak pengguna untuk menerapkannya tanpa ragu-ragu:
“Versi ini berisi perbaikan bug dan keamanan yang penting, dan kami sangat menyarankan agar semua instalasi GitLab yang dikelola sendiri segera ditingkatkan ke salah satu versi ini,” jelas GitLab. “GitLab.com sudah menjalankan versi yang dipatch. Pelanggan khusus GitLab tidak perlu mengambil tindakan.”
Mengutip data Shadowserver, BleepingComputer mengatakan saat ini terdapat sekitar 6.000 instance GitLab CE yang terekspos secara online, hal ini menunjukkan bahwa lanskap targetnya cukup besar.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
