GitLab, hem Community Edition’ı (CE) hem de Enterprise Edition’ı (EE) etkileyen birden fazla güvenlik açığını gideren kritik güvenlik yamaları yayınladı.
18.8.2, 18.7.2 ve 18.6.4 sürümleri, iki faktörlü kimlik doğrulamayı atlama ve hizmet reddi saldırılarına olanak tanıyan kusurları düzeltmek için artık mevcut.
GitLab, tüm kendi kendine yönetilen kurulumların hemen yükseltilmesini şiddetle tavsiye ederken GitLab.com yamaları zaten dağıttı.
Kritik Kimlik Doğrulamada Güvenlik Açığı Atlama
CVE-2026-0723 olarak takip edilen en ciddi kusur, kurbanın kimlik bilgilerine sahip saldırganların sahte cihaz yanıtları göndererek iki faktörlü kimlik doğrulamayı atlamasına olanak tanıyan, kimlik doğrulama hizmetlerinde kontrol edilmeyen bir dönüş değeri sorunudur.
Bu yüksek önemdeki güvenlik açığı (CVSS 7.4), GitLab’ın 18.6’dan 18.8.1’e kadar olan sürümlerini etkiliyor ve hesap güvenliği açısından önemli bir risk oluşturuyor.
| CVE Kimliği | Güvenlik Açığı | CVSS Puanı | Şiddet |
|---|---|---|---|
| CVE-2026-0723 | Kimlik doğrulama hizmetlerinde İşaretlenmemiş Dönüş Değeri (2FA bypass) | 7.4 | Yüksek |
| CVE-2025-13927 | Jira Connect entegrasyonunda Hizmet Reddi | 7.5 | Yüksek |
| CVE-2025-13928 | Sürüm API’sinde Yanlış Yetkilendirme | 7.5 | Yüksek |
| CVE-2025-13335 | Wiki yönlendirmelerinde Sonsuz Döngü | 6.5 | Orta |
| CVE-2026-1102 | API uç noktasında Hizmet Reddi (SSH istekleri) | 5.3 | Orta |
Güvenlik araştırmacısı ahacker1, GitLab’ın HackerOne hata ödül programı aracılığıyla kusuru keşfetti ve bildirdi.
Ayrıcalıklı hesaplar için iki faktörlü kimlik doğrulamayı kullanan kuruluşların bu yamaya hemen öncelik vermesi gerekir.
GitLab ayrıca kimliği doğrulanmamış saldırganların yararlanabileceği üç hizmet reddi sorununu da düzeltti:
- CVE-2025-13927, saldırganların Jira Connect entegrasyonuna hatalı biçimlendirilmiş kimlik doğrulama verileri içeren hazırlanmış istekler göndererek GitLab örneklerini çökertmesine olanak tanır. Bu kusur GitLab sürüm 11.9’dan beri mevcuttur ve CVSS puanı 7,5’tir.
- CVE-2025-13928, Releases API’de yanlış yetkilendirme doğrulaması içeriyor ve kimliği doğrulanmamış kullanıcıların hizmet kesintilerini tetiklemesine olanak tanıyor. Bu güvenlik açığı 17.7 ve sonraki sürümleri etkilemektedir.
- GitLab ekip üyesi Thiago Figueiró tarafından dahili olarak keşfedilen CVE-2026-1102, 12.3’ten bu yana sürümleri etkiliyor.
Saldırganlar, tekrar tekrar hatalı biçimlendirilmiş SSH kimlik doğrulama istekleri göndererek hizmet reddi durumuna neden olabilir. Ancak bu orta önemdeki kusurun (CVSS 5.3) etkisi daha düşüktür.
Ek olarak, CVE-2025-13335, Wiki yönlendirmelerindeki sonsuz döngü sorununu ele alarak, kimliği doğrulanmış kullanıcıların döngü tespitini atlayan ve hizmet kesintilerine neden olan özel hazırlanmış Wiki belgeleri oluşturmasına olanak tanır.
GitLab, etkilenen sürümleri çalıştıran tüm kendi kendini yöneten kurulumların derhal en son yama sürümüne yükseltilmesi gerektiğini vurguluyor.
Tek düğümlü dağıtımlarda geçiş sırasında kesinti yaşanırken, çok düğümlü kurulumlarda sıfır kesinti süreli yükseltme prosedürleri uygulanabilir.
Şirket, kuruluşlara sistemlerini güvence altına almaları için yeterli zaman tanımak amacıyla yama yayınlandıktan 30 gün sonra güvenlik açığı ayrıntılarını yayınlayarak sorumlu bir açıklama politikası izliyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.