الصفحات
بحث
ثغرة خطيرة في GitLab تضرب المصادقة الثنائية: حدث فوراً
الأمن السيبراني #GitLab #أمن_سيبراني

ثغرة خطيرة في GitLab تضرب المصادقة الثنائية: حدث فوراً

منذ أسبوع 27 مشاهدة 0 تعليق 1 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
27 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

أصدرت منصة تطوير البرمجيات الشهيرة GitLab تحديثات أمنية هامة لإصلاح ثغرة خطيرة تسمح بتجاوز المصادقة الثنائية (2FA)، مما يؤثر على كل من إصدارات المجتمع (CE) والمؤسسات (EE) من منصتها.

تفاصيل ثغرة تجاوز المصادقة

الثغرة التي تم تتبعها بالرمز CVE-2026-0723، تنبع من ضعف في التحقق من القيمة المرجعة في خدمات المصادقة الخاصة بـ GitLab. هذا الخلل يتيح للمهاجمين الذين يمتلكون معرف الحساب المستهدف (Account ID) الالتفاف حول حماية المصادقة الثنائية.

وأوضحت الشركة في بيانها: "لقد عالجت GitLab مشكلة كان من الممكن أن تسمح لشخص لديه معرف اعتماد الضحية بتجاوز المصادقة الثنائية عن طريق إرسال استجابات مزورة للأجهزة".

ثغرات حجب الخدمة (DoS)

إلى جانب ثغرة المصادقة، عالجت الشركة عيوباً أمنية أخرى قد تؤدي إلى هجمات حجب الخدمة (DoS):

  • ثغرات عالية الخطورة: تم إصلاح ثغرتين (CVE-2025-13927 و CVE-2025-13928) تسمحان لجهات تهديد غير مصادق عليها بإحداث حالة حجب خدمة عبر إرسال بيانات مصادقة مشوهة أو استغلال تصاريح غير صحيحة في نقاط الـ API.
  • ثغرات متوسطة الخطورة: تم سد ثغرات (CVE-2025-13335 و CVE-2026-1102) تتعلق بتكوين مستندات "ويكي" مشوهة لتجاوز كشف الدورة، وإرسال طلبات مصادقة SSH متكررة ومشوهة.

الإصدارات الآمنة والإجراءات المطلوبة

لمواجهة هذه المخاطر، أطلقت الشركة الإصدارات التالية، ناصحة المدراء بالترقية إليها في أسرع وقت ممكن:

  • الإصدار 18.8.2
  • الإصدار 18.7.2
  • الإصدار 18.6.4

وأكدت الشركة قائلة: "تحتوي هذه الإصدارات على إصلاحات هامة للأخطاء والأمان، ونوصي بشدة بترقية جميع تثبيتات GitLab المدارة ذاتياً إلى أحد هذه الإصدارات فوراً". وأشارت إلى أن موقع GitLab.com يعمل بالفعل بالنسخة المصححة، ولا يحتاج عملاء GitLab Dedicated لاتخاذ أي إجراء.

حجم الانتشار والمخاطر

وفقاً لبيانات مراقبة أمن الإنترنت، يتتبع Shadowserver حالياً ما يقرب من 6,000 نسخة من GitLab CE مكشوفة عبر الإنترنت، بينما كشف محرك البحث Shodan عن أكثر من 45,000 جهاز يحمل بصمة GitLab.

يُذكر أن منصة DevSecOps الخاصة بالشركة تضم أكثر من 30 مليون مستخدم مسجل، وتعتمد عليها أكثر من 50% من شركات Fortune 100، بما في ذلك عمالقة مثل Nvidia و Airbus و T-Mobile و Lockheed Martin و Goldman Sachs و UBS.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##GitLab ##أمن_سيبراني ##تكنولوجيا ##DevSecOps

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!