Ein neues Sicherheitsupdate für die Entwicklungsplattform GitLab schließt fünf gefährliche Lücken – darunter ein schwerwiegender Fehler, der Angreifern den Zugriff auf Benutzerkonten trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) ermöglicht. Administratoren müssen selbst gehostete Instanzen sofort aktualisieren.
Die am heutigen Mittwoch veröffentlichten Patches für die Versionen 18.8.2, 18.7.2 und 18.6.4 beheben Schwachstellen, die zu Account-Übernahmen und Denial-of-Service-Angriffen führen können. Besonders kritisch ist die Lücke CVE-2026-0723, die in der Authentifizierungslogik der Plattform steckt.
Kritische 2FA-Umgehung entdeckt
Die schwerwiegendste Lücke ermöglicht es Angreifern, den Zwei-Faktor-Schutz komplett zu umgehen. Laut dem Sicherheitshinweis von GitLab handelt es sich um einen nicht überprüften Rückgabewert in den Authentifizierungsdiensten.
Ein Angreifer, der die Credential-ID eines Opfers kennt, könnte gefälschte Geräteantworten übermitteln und so die 2FA-Ebene aushebeln. Für Unternehmen, die auf Zwei-Faktor-Authentifizierung als Hauptschutz vor Credential-Diebstahl setzen, ist dies ein alarmierender Fund.
Sicherheitslücken wie die gerade geschlossene 2FA‑Umgehung in GitLab zeigen, wie schnell Angreifer Unternehmens-Accounts kompromittieren können. Unser kostenloses E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen und umsetzbare Schutzmaßnahmen für IT‑Leiter und Systemadministratoren zusammen – von effektivem Patch‑Management über automatisierte Scans bis zu einfachen Incident‑Response‑Checklisten. Holen Sie sich praxisnahe Prioritäten, mit denen Sie Ihre Entwicklungsinfrastruktur sofort härten können. Der Report berücksichtigt auch neue gesetzliche Vorgaben und hilft, Sicherheitslücken schneller zu schließen. Kostenloses Cyber‑Security E‑Book herunterladen
Der Fehler wurde durch einen Forscher im Bug-Bounty-Programm HackerOne gemeldet. Bisher gibt es keine Hinweise auf aktive Angriffe in der Wildnis. Doch jetzt, wo der Patch veröffentlicht ist, wird die Lücke für Cyberkriminelle besonders interessant.
Weitere Lücken bedrohen Systemverfügbarkeit
Neben der Authentifizierungs-Umgehung behebt das Update mehrere Schwachstellen, die zu Denial-of-Service-Zuständen führen können – und damit die Verfügbarkeit kritischer Entwicklungsinfrastruktur gefährden.
Jira-Connect-Integration (CVE-2025-13927)
Eine hochkritische Lücke in der Jira-Connect-Integration ermöglicht es nicht authentifizierten Angreifern, einen Dienstabbruch durch speziell präparierte Anfragen auszulösen. Da dieser Angriffsvektor keine Anmeldung erfordert, stellt er ein erhebliches Risiko für öffentlich zugängliche GitLab-Instanzen dar.
Probleme in Releases-API und Wiki
Zwei weitere Lücken (CVE-2025-13928 und CVE-2025-13335) wurden ebenfalls geschlossen. Die erste betrifft eine fehlerhafte Autorisierungsprüfung in der Releases-API, die nicht authentifizierte Nutzer zum Absturz des Dienstes nutzen können. Die zweite ist ein Endlosschleifen-Problem in Wiki-Weiterleitungen, das Systemressourcen blockieren kann.
Betroffene Versionen und dringende Handlungsempfehlung
Das Sicherheitsupdate gilt für folgende Versionen von GitLab Community und Enterprise Edition:
* 18.8.2 (patched Versionen vor 18.8)
* 18.7.2 (patched Versionen vor 18.7)
* 18.6.4 (patched Versionen vor 18.6)
Die SaaS-Plattform GitLab.com wurde bereits aktualisiert und ist geschützt. Administratoren selbst verwalteter Installationen müssen die Updates jedoch manuell einspielen.
Sicherheitsexperten raten dringend, diese Aktualisierung sofort vorzunehmen. Ungepatchte Systeme könnten proprietären Code und Benutzerdaten unbefugtem Zugriff aussetzen. Angesichts der Authentifizierungs-Umgehung sollte dieses Update als außerordentliche Notfallmaßnahme behandelt werden – nicht im regulären Wartungsfenster.
Sicherheitslage zu Jahresbeginn 2026
Die Veröffentlichung folgt auf einen turbulenten Start ins Cybersecurity-Jahr 2026. Erst letzte Woche behebt Microsofts „Patch Tuesday“ über 100 Schwachstellen. Die Entdeckung von CVE-2026-0723 unterstreicht, wie stark sich Forscher weiterhin auf Authentifizierungslogik konzentrieren – nach wie vor ein häufiger Schwachpunkt in komplexen Software-Ökosystemen.
GitLab wird in 30 Tagen vollständige Details zu den Schwachstellen veröffentlichen. Dies gibt Administratoren ein Zeitfenster, ihre Systeme zu sichern, bevor Proof-of-Concept-Exploits weithin bekannt werden. Automatisierte Scan-Tools werden die neuen CVE-Signaturen bald integrieren – dann könnten ungepatchte Instanzen innerhalb von Tagen identifiziert werden.
PS: Angesichts angekündigter Detailveröffentlichungen und der schnellen Integration neuer CVE‑Signaturen ist jetzt schnelles Handeln gefragt. Das Gratis‑Reportpaket erklärt konkret, welche Sofortmaßnahmen Administratoren durchführen sollten, wie man Scan‑Tools richtig konfiguriert und welche Prioritäten bei der Risikoabschätzung gelten — ideal für Teams ohne große Security‑Abteilung. Schützen Sie Ihre Nutzerkonten bevor Proof‑of‑Concept‑Exploits auftauchen. Jetzt kostenlosen Cyber‑Security‑Report sichern
