Kritieke beveiligingslekken in GitLab

Er zijn beveiligingslekken geconstateerd in zowel de Community Edition als de Enterprise Edition van GitLab. Vooral de kwetsbaarheid aangemerkt met CVE-2023-7028 vraagt om speciale aandacht omdat er een zogenoemde 'Proof of concept'-code is gepubliceerd die beschrijft hoe de kwetsbaarheid misbruikt kan worden. Daarnaast heeft het Nationaal Cyber Security Centrum (NCSC) meldingen van actieve misbruikpogingen waargenomen.

Wat is er aan de hand?

GitLab is een cloud-based platform waarop programmeurs (samenwerkend) aan softwareontwikkeling doen. De beveiligingslekken die zijn geconstateerd, zijn opgelost in de versies 16.5.6, 16.6.4 en 16.7.2.

De CVE-2023-7028 kwetsbaarheid stelt een kwaadwillende in staat om een account over te nemen door een password-reset te laten versturen naar een e-mailadres dat niet bij het account hoort. Het daadwerkelijk overnemen van een account is niet mogelijk wanneer tweefactorauthenticatie (of MFA) ingesteld is.

Wat kun je doen?

Het online ontwikkelplatform GitLab heeft beveiligingsupdates uitgebracht om de kwetsbaarheden te verhelpen. Het dringende advies is om snel mogelijk naar de laatste versie updaten. Ook raden we je aan om multifactorauthenticatie (MFA) te activeren op GitLab-omgevingen. Deze maatregel biedt aanvullende bescherming bij zwakke wachtwoorden.

Mocht je niet zeker weten hoe dit moet of mocht je twijfelen, neem dan contact op met je IT-leverancier of GitLab.

Dit bericht is oorspronkelijk gepubliceerd op de website van het Digital Trust Center. Sinds 1 januari 2026 is het Digital Trust Center een onderdeel van het Nationaal Cyber Security Centrum (NCSC).