A plataforma de desenvolvimento de software GitLab lançou atualizações de segurança urgentes para corrigir uma vulnerabilidade de alta gravidade que afetava as edições comunitária e empresarial do seu software. A falha, se explorada, poderia permitir que atacantes contornassem os mecanismos de proteção de autenticação de dois fatores (2FA), colocando em risco contas de utilizadores e repositórios de código sensíveis.
Detalhes da vulnerabilidade e riscos associados
Identificada como CVE-2026-0723, esta falha de segurança tem origem numa fraqueza relacionada com a verificação de valores de retorno nos serviços de autenticação da plataforma. Segundo a informação divulgada, um atacante que tivesse conhecimento do ID da conta da vítima poderia explorar este erro para contornar a barreira do 2FA.
A GitLab explicou que o problema foi remediado, impedindo que indivíduos mal-intencionados submetessem respostas de dispositivo falsificadas para ganhar acesso indevido. Para além desta correção prioritária, a empresa resolveu também duas outras falhas de alta gravidade (CVE-2025-13927 e CVE-2025-13928) que poderiam levar a condições de negação de serviço (DoS) através de pedidos com dados de autenticação malformados ou validação incorreta de autorizações em endpoints da API.
Foram ainda corrigidas vulnerabilidades de gravidade média que permitiam a exploração de documentos Wiki mal configurados e o envio repetido de pedidos de autenticação SSH malformados.
Versões corrigidas e impacto no mercado
Para mitigar estes riscos, foram disponibilizadas as versões 18.8.2, 18.7.2 e 18.6.4 tanto para a Community Edition (CE) como para a Enterprise Edition (EE). A empresa aconselha vivamente todos os administradores de instalações geridas pelos próprios (self-managed) a efetuarem a atualização para a versão mais recente com a maior brevidade possível.
A plataforma baseada na nuvem, GitLab.com, já se encontra a correr a versão corrigida, pelo que os clientes dessa modalidade não necessitam de tomar qualquer ação. No entanto, o cenário global mostra que ainda existe uma superfície de ataque considerável: dados do Shadowserver indicam que existem quase 6.000 instâncias expostas online, enquanto o motor de busca Shodan identificou mais de 45.000 dispositivos com a impressão digital da plataforma.
A importância desta atualização é sublinhada pelo perfil dos clientes que utilizam a ferramenta DevSecOps, que conta com mais de 30 milhões de utilizadores registados. Entre as empresas que confiam na plataforma encontram-se gigantes da tecnologia e indústria como a Nvidia, Airbus, T-Mobile e Lockheed Martin, o que torna a segurança destes sistemas uma prioridade crítica.
Nenhum comentário
Seja o primeiro!