GitLabは、同社のソフトウェア開発プラットフォームのコミュニティ版およびエンタープライズ版に影響する、高深刻度の二要素認証(2FA)バイパスの脆弱性を修正しました。
CVE-2026-0723として追跡されているこの脆弱性は、GitLabの認証サービスにおける戻り値未チェックの欠陥に起因し、標的のアカウントIDを知っている攻撃者が二要素認証を回避できる可能性があります。
同社は説明の中で、「GitLabは、被害者のクレデンシャルIDに関する既存の知識を持つ人物が、偽造したデバイス応答を送信することで二要素認証をバイパスできてしまう可能性があった問題を修正しました」と述べています。
GitLabはまた、GitLab CE/EEに影響する2件の高深刻度の不具合にも対処しました。これらは、認証データが不正な形式の細工されたリクエストを送信することで(CVE-2025-13927)、およびAPIエンドポイントにおける誤った認可検証を悪用することで(CVE-2025-13928)、未認証の脅威アクターがサービス拒否(DoS)状態を引き起こせる可能性があります。
さらに、サイクル検出を回避する不正な形式のWikiドキュメントを設定することで悪用可能なもの(CVE-2025-13335)と、不正な形式のSSH認証リクエストを繰り返し送信することで悪用可能なもの(CVE-2026-1102)という、2件の中深刻度のDoS脆弱性も修正しました。
これらのセキュリティ上の不具合に対処するため、同社はGitLab Community Edition(CE)およびEnterprise Edition(EE)向けに18.8.2、18.7.2、18.6.4をリリースし、管理者に対して可能な限り早く最新バージョンへアップグレードするよう助言しています。
GitLabは「これらのバージョンには重要なバグ修正とセキュリティ修正が含まれており、自己管理型のGitLabインストールはすべて、直ちにこれらのいずれかのバージョンへアップグレードすることを強く推奨します」と付け加えました。「GitLab.comはすでに修正済みバージョンで稼働しています。GitLab Dedicatedのお客様は対応不要です。」
インターネットセキュリティ監視団体Shadowserverは、オンラインで公開されているGitLab CEインスタンス約6,000件を現在追跡しており、一方ShodanはGitLabのフィンガープリントを持つデバイスを45,000台以上発見しています。
2025年6月には、GitLabも高深刻度のアカウント乗っ取りおよび認証欠如に関するセキュリティ問題を修正し、顧客に対してインストールを直ちにアップグレードするよう促しました。
GitLabによると、同社のDevSecOpsプラットフォームは登録ユーザー数が3,000万人を超え、Nvidia、Airbus、T-Mobile、Lockheed Martin、Goldman Sachs、UBSを含むFortune 100企業の50%以上で利用されています。
