नई दिल्ली — DevSecOps प्लेटफॉर्म GitLab ने अपने Community Edition (CE) और Enterprise Edition (EE) में मौजूद एक हाई-सीवेरिटी टू-फैक्टर ऑथेंटिकेशन (2FA) बायपास खामी को पैच कर दिया है। कंपनी ने सभी सेल्फ-मैनेज्ड GitLab इंस्टॉलेशंस के एडमिनिस्ट्रेटर्स से लेटेस्ट वर्ज़न पर तुरंत अपग्रेड करने की सख़्त सलाह दी है।
CVE-2026-0723 के रूप में ट्रैक की गई यह कमजोरी GitLab की ऑथेंटिकेशन सर्विसेज़ में मौजूद unchecked return value समस्या से जुड़ी थी। GitLab के अनुसार, यदि किसी हमलावर के पास किसी यूज़र के अकाउंट या क्रेडेंशियल ID की जानकारी पहले से हो, तो वह ऑथेंटिकेशन प्रक्रिया के दौरान फोर्ज्ड डिवाइस रिस्पॉन्स सबमिट कर दो-स्तरीय प्रमाणीकरण को बायपास कर सकता था।
साइबर सुरक्षा विशेषज्ञों का कहना है कि भले ही इस खामी के दुरुपयोग के लिए अकाउंट-स्तरीय जानकारी आवश्यक हो, लेकिन GitLab के व्यापक एंटरप्राइज़ उपयोग को देखते हुए इसका प्रभाव गंभीर माना जाता है। GitLab का उपयोग बड़ी डेवलपमेंट टीम्स, कॉरपोरेट नेटवर्क्स और क्रिटिकल इंफ्रास्ट्रक्चर में व्यापक रूप से किया जाता है।
2FA बायपास के अलावा, GitLab ने दो अन्य हाई-सीवेरिटी कमजोरियों को भी ठीक किया है, जिनके जरिए अनऑथेंटिकेटेड हमलावर सिस्टम को डिनायल-ऑफ-सर्विस (DoS) स्थिति में डाल सकते थे। पहली कमजोरी, CVE-2025-13927, विशेष रूप से तैयार किए गए malformed authentication requests के जरिए सर्विस को ओवरलोड कर अस्थायी रूप से ठप करने में सक्षम थी। दूसरी खामी, CVE-2025-13928, कुछ API endpoints में गलत ऑथराइज़ेशन वैलिडेशन से जुड़ी थी, जिससे दुर्भावनापूर्ण रिक्वेस्ट्स के ज़रिये सेवाएं क्रैश हो सकती थीं।
इसके अलावा, कंपनी ने दो मीडियम-सीवेरिटी DoS कमजोरियों को भी पैच किया है। इनमें एक खामी Wiki फाइल्स से संबंधित थी, जो cycle detection को बायपास कर सकती थीं (CVE-2025-13335), जबकि दूसरी कमजोरी बार-बार malformed SSH authentication requests भेजकर सर्विस बाधित करने से जुड़ी थी (CVE-2026-1102)।
इन सभी खामियों को दूर करने के लिए GitLab ने CE और EE दोनों के लिए 18.8.2, 18.7.2 और 18.6.4 वर्ज़न जारी किए हैं। कंपनी ने अपने एडवाइज़री में कहा कि इन वर्ज़न्स में महत्वपूर्ण सिक्योरिटी फिक्स शामिल हैं और सभी सेल्फ-मैनेज्ड इंस्टॉलेशंस को तुरंत अपग्रेड किया जाना चाहिए।
Certified Cyber Crime Investigator Course Launched by Centre for Police Technology
GitLab ने यह भी स्पष्ट किया है कि GitLab.com पहले से ही पैच्ड वर्ज़न पर चल रहा है और GitLab Dedicated ग्राहकों को किसी अतिरिक्त कार्रवाई की आवश्यकता नहीं है।
यह चेतावनी ऐसे समय आई है जब इंटरनेट पर पब्लिकली एक्सपोज़्ड GitLab इंस्टॉलेशंस को लेकर चिंता बढ़ रही है। इंटरनेट सिक्योरिटी मॉनिटरिंग ग्रुप Shadowserver के अनुसार, वर्तमान में लगभग 6,000 GitLab CE इंस्टेंस सार्वजनिक रूप से एक्सेसिबल हैं। वहीं Shodan के डेटा में 45,000 से अधिक डिवाइसेज़ पर GitLab की पहचान मिली है।
साइबर सुरक्षा विश्लेषकों के अनुसार, पब्लिकली एक्सपोज़्ड डेवलपर टूल्स अब केवल डेटा चोरी तक सीमित खतरा नहीं हैं, बल्कि एंटरप्राइज़ नेटवर्क्स में घुसपैठ के शुरुआती रास्ते के रूप में भी हमलावरों के निशाने पर हैं, क्योंकि इनका सीधा संबंध सोर्स कोड, CI/CD पाइपलाइन्स और क्लाउड क्रेडेंशियल्स से होता है।
पिछले एक वर्ष में GitLab कई सुरक्षा घटनाओं का सामना कर चुका है। जून 2025 में भी कंपनी ने हाई-सीवेरिटी अकाउंट टेकओवर और मिसिंग ऑथेंटिकेशन से जुड़ी कमजोरियों को पैच किया था और तब भी तत्काल अपग्रेड की अपील की गई थी।
दुनियाभर में 3 करोड़ से अधिक रजिस्टर्ड यूज़र्स और Fortune 100 की आधी से ज्यादा कंपनियों द्वारा उपयोग किए जाने के चलते GitLab साइबर हमलावरों के लिए एक हाई-वैल्यू टारगेट बना हुआ है। एयरोस्पेस, टेलीकॉम, डिफेंस और फाइनेंशियल सर्विसेज़ जैसे सेक्टर्स की बड़ी कंपनियां इस प्लेटफॉर्म पर निर्भर हैं।
सिक्योरिटी विशेषज्ञों ने सलाह दी है कि सेल्फ-मैनेज्ड GitLab चलाने वाली संस्थाएं पैचिंग को सर्वोच्च प्राथमिकता दें, अनावश्यक पब्लिक एक्सपोज़र कम करें और ऑथेंटिकेशन लॉग्स की नियमित समीक्षा करें। नेटवर्क-लेवल एक्सेस कंट्रोल और डेवलपमेंट इंफ्रास्ट्रक्चर का उचित सेगमेंटेशन भी जरूरी उपायों में शामिल बताया गया है।
