- GitLab parchea CVE-2026-0723, una falla que permite eludir 2FA y tomar control de cuentas
- También se solucionaron vulnerabilidades DoS adicionales en autenticación, puntos finales API, wikis y SSH.
- GitLab exige una actualización inmediata; ~6000 instancias de CE expuestas siguen siendo objetivos potenciales
GitLab ha solucionado una vulnerabilidad de alta gravedad en sus versiones Community Edition y Enterprise Edition (CE/EE) que podría permitir a los actores de amenazas eludir la autenticación de dos factores y potencialmente apoderarse de las cuentas de las personas.
“GitLab ha solucionado un problema que podría permitir que una persona con conocimiento existente de la identificación de la credencial de una víctima evite la autenticación de dos factores enviando una respuesta de dispositivo falsa”, dijo la compañía en un aviso de seguridad.
Como se explicó, la vulnerabilidad se debió a valores de retorno no verificados en los servicios de autenticación de GitLab. Como resultado, los atacantes pueden evitar la 2FA para las víctimas cuyas identificaciones ya conocen.
Campaña extraña
El error ahora se rastrea como CVE-2026-0723 y se le otorga una puntuación de gravedad alta (7,4/10).
Esto se solucionó en las versiones CE/EE 18.8.2, 18.7.2, 18.6.4.
En el mismo parche, GitLab también corrigió dos errores adicionales que permitían a los atacantes montar ataques de denegación de servicio (DoS) enviando solicitudes personalizadas con datos de autenticación defectuosos y abusando de la validación de autorización incorrecta en los puntos finales de API.
Estas dos fallas se rastrean como CVE-2025-13927 y CVE_2025.13928, y afectan tanto a las versiones CE como EE.
GitLab también corrigió dos errores de DoS que podrían desencadenarse al configurar documentos wiki con formato incorrecto y enviar repetidamente solicitudes de autenticación SSH con formato incorrecto. Estos dos ahora tienen un seguimiento como CVE-2025-13335 y CVE-2026-1102.
Hablando del último parche, GitLab insta a los usuarios a aplicarlo sin dudarlo:
“Estas versiones contienen importantes correcciones de errores y seguridad, y recomendamos encarecidamente que todas las instalaciones autogestionadas de GitLab se actualicen inmediatamente a una de estas versiones”, explicó GitLab. “GitLab.com ya está ejecutando la versión parcheada. Los clientes de GitLab Dedicated no necesitan tomar medidas”.
Citando datos del servidor oculto, Computadora pitando dijo que actualmente hay alrededor de 6000 instancias de GitLab CE expuestas en línea, lo que sugiere que el panorama objetivo es bastante grande.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
