Ernstige 2FA-bug bij GitLab laat hackers accounts volledig overnemen
2FA fungeert normaal als extra beveiligingslaag boven op het reguliere wachtwoord, maar bij GitLab bleek daar een fout in te zitten. Die fout stelde aanvallers in staat om de 2FA-beveiliging integraal te omzeilen. Hackers hoefden daarvoor enkel het account-ID van een slachtoffer te achterhalen.
2FA eenvoudig te omzeilen met vervalste apparaten
Om misbruik te maken van de kwetsbaarheid moesten zogenoemde ‘reacties met vervalste apparaten’ worden ingediend, licht GitLab toe in een rapportage over het lek (CVE-2026-0723). Uiteraard moet een aanvaller ook het wachtwoord van het slachtoffer kennen, maar zodra dat gelekt is, biedt de 2FA-laag nog weinig tot geen extra bescherming.
Het risico van deze kwetsbaarheid is dan ook dat gebruikers zich veilig wanen dankzij 2FA, terwijl hun account in werkelijkheid alsnog kan worden binnengedrongen. De gevolgen kunnen groot zijn: in GitLab-repositories worden vaak configuratiedetails en andere gevoelige gegevens opgeslagen. GitLab kwam onlangs nog in het nieuws door een Red Hat-datalek, waarbij gevoelige data uit GitLab-systemen werd buitgemaakt.
Meerdere kwetsbaarheden voor denial-of-service-aanvallen
Naast de 2FA-kwetsbaarheid heeft GitLab ook twee bugs verholpen die konden leiden tot zogeheten denial-of-service-aanvallen op GitLab CE en EE. Deze DoS-condities konden worden getriggerd door vervalste verzoeken met onjuiste authenticatiegegevens te versturen (CVE-2025-13927), of door foutieve autorisatievalidatie-verzoeken naar API-endpoints te sturen (CVE-2025-13928).
Daarnaast ontdekte GitLab nog twee andere DoS-kwetsbaarheden. Die konden misbruikt worden door het aanmaken van foutieve Wiki-documenten en door continu verkeerd geformuleerde SSH-verzoeken te versturen. Met denial-of-service-aanvallen proberen kwaadwillenden systemen onbereikbaar of extreem traag te maken. Het principe is vergelijkbaar met DDoS-aanvallen, waarbij systemen worden overspoeld met verzoeken.
Updates beschikbaar voor GitLab CE en EE
Alle genoemde kwetsbaarheden zijn inmiddels door GitLab gepatcht. Het bedrijf bracht hiervoor versies 18.8.2, 18.7.2 en 18.6.4 uit voor zowel de Community Edition (CE) als de Enterprise Edition (EE) van het ontwikkelplatform.
Deze updates worden automatisch uitgerold op door GitLab beheerde instances. Wie een self-managed GitLab-installatie draait, met uitzondering van Dedicated-klanten, moet de patches zelf installeren. GitLab raadt aan om dit zo snel mogelijk te doen.
