The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в GitLab, позволяющая обойти двухфакторную аутентификацию

22.01.2026 15:24 (MSK)

Опубликованы корректирующие обновления платформы для организации совместной разработки GitLab - 18.8.2, 18.7.2, 18.6.4, в которых устранена уязвимость (CVE-2026-0723), позволяющая обойти проверку при двухфакторной аутентификации. Для совершения атаки злоумышленник должен знать идентификатор учётных данных жертвы. Уязвимость вызвана отсутствием должной проверки возвращаемого значения в сервисах аутентификации.

Кроме того, в новых версиях устранены ещё 4 уязвимости, две из которых помечены опасными. Данные проблемы приводят к отказу в обслуживании при отправке специально оформленных запросов к компоненту для интеграции с Jira Connect (CVE-2025-13927), API управления релизами (CVE-2025-13928) и SSH (CVE-2026-1102), а также к зацикливанию при созданию специально оформленного Wiki-документа (CVE-2025-13335).

Всем пользователям рекомендуется срочно установить обновление. Детали проблемы пока не раскрываются и станут доступны публично спустя 30 дней после публикации исправления. Сведения об уязвимостях переданы в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей.

  1. Главная ссылка к новости (https://about.gitlab.com/relea...)
  2. OpenNews: Взлом внутреннего GitLab-сервера Red Hat
  3. OpenNews: Уязвимость в библиотеке ruby-saml, приводящая к обходу аутентификации в GitLab
  4. OpenNews: Уязвимость в Ruby-SAML, позволяющая обойти аутентификацию в GitLab
  5. OpenNews: 17 уязвимостей в GitLab
  6. OpenNews: Критическая уязвимость в GitLab
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64657-gitlab
Ключевые слова: gitlab
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Витюшка (?), 16:04, 22/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Такие новости можно уже не писать. Это даже уже не "новость". Никакого "ново". Это "новая реальность", новая эпоха IT масспродукта капитализма.

    В GPL "свабодке" не лучше.

    Эпоха "хакеров" давно ушла

     
     
  • 2.5, Аноним (5), 16:16, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >Такие новости можно уже не писать.

    Можно писать, хотя бы для того чтобы люди помнили, что идеального в реальном мире не существует.

    >Это даже уже не "новость". Никакого "ново". Это "новая реальность", новая эпоха IT масспродукта капитализма.

    Говорите, что это не "ново" и тут же употребляете слова с "ново".

    >В GPL "свабодке" не лучше.

    Причем тут лицензия. Смысл закатился куда-то.

    >Эпоха "хакеров" давно ушла

    Они тоже взрослеют, обзаводятся семьями и солидностью, и переходят работать в корпорации. Там где промышляет большой хищник нет места мелким.

     
     
  • 3.9, Аноним (9), 16:44, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Говорите, что это не "ново" и тут же употребляете слова с "ново".

    Вот навскидку тебе: новая новость, старая новость, новая история, старая история.

     
  • 2.6, Аноним (-), 16:26, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Эпоха "хакеров" давно ушла

    Как кодили какиры мы имели возможность наблюдать совсем недавно на примере сорцов Юникса.
    При том, что сложность и ожидания от продукта возрасли на порядки.

     
     
  • 3.7, Я (??), 16:30, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    "Ваши ожидания - ваши проблемы" ©
     
  • 3.8, Аноним (5), 16:35, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Им приходилось писать алгоритмы для ЭВМ, которые мало отличались от автомобилей. )
     
  • 2.14, Аноним (14), 17:56, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Эпоха "хакеров" давно ушла

    И разгребать эти какерские завали еще много лет.

     
  • 2.16, Аноним (16), 18:11, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Эпоха "хакеров" давно ушла

    Какеры нахакакали, а их хакаки приходится сейчас разгребать.

    Да и кто из них был хотя бы моральным человеком?
    Митник который зарабатывал на жизнь обманом и взломами? Благо хоть сдох относительно быстро.

     

  • 1.10, Аноним (10), 16:44, 22/01/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +3 +/
     

  • 1.11, Аноним (9), 16:52, 22/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Уязвимость вызвана отсутствием должной проверки возвращаемого значения

    Кто-нибудь знает, в коде сервисов гитлаба есть rust?

     
     
  • 2.12, Аноним (-), 16:59, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > Кто-нибудь знает, в коде сервисов гитлаба есть rust?

    Или вообще нет, или в гомеопатических дозах

    Ruby 68.4%
    JavaScript 19.2%
    Vue 7.8%
    PLpgSQL 2.2%
    Haml 1.1%

    gitlab.com/gitlab-org/gitlab

     
     
  • 3.15, Аноним (14), 17:57, 22/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    И даже так изза него такие вот ошибки! Представляете что будет когда на нем будет больше кода?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру