GitLab-beveiligingslek laat aanvaller tweefactorauthenticatie omzeilen

In dit artikel:

GitLab heeft vandaag beveiligingspatches uitgebracht voor zowel Community als Enterprise Edition om meerdere kwetsbaarheden te dichten, waaronder een ernstig lek (CVE-2026-0723) waarmee aanvallers tweefactorauthenticatie kunnen omzeilen. Beheerders en gebruikers van zelfgehoste GitLab-instanties wordt dringend geadviseerd zo snel mogelijk te updaten naar versie 18.8.2, 18.7.2 of 18.6.4.

Het 2FA-probleem ontstaat doordat een “unchecked return value” in de authenticatieflow het mogelijk maakt dat iemand met kennis van iemands credential ID en met vervalste device-responses toegang krijgt zonder tweede factor. GitLab heeft geen uitgebreide technische details vrijgegeven. In dezelfde updates zijn ook meerdere kwetsbaarheden verholpen die misbruik kunnen maken voor denial-of-service-aanvallen.

Organisaties die GitLab draaien op eigen servers lopen het meeste risico; zij moeten direct de aangeboden patches toepassen en in aanvulling hun inlogs en accountactiviteit controleren.