GitLab waarschuwt voor kritiek lek dat aanvaller authenticatie laat omzeilen
GitLab waarschuwt voor twee kritieke kwetsbaarheden waardoor een aanvaller in bepaalde gevallen de authenticatie kan omzeilen. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. GitLab is een populaire online DevOps-tool voor het ontwikkelen van software. Organisaties kunnen GitLab op hun eigen server of servers installeren.
Wanneer SAML SSO-authenticatie is ingeschakeld maakt GitLab gebruik van de ruby-saml library. Deze library bevat twee kritieke 'authentication bypass' kwetsbaarheden, aangeduid als CVE-2025-25291 en CVE-2025-25292. In bepaalde gevallen kan een aanvaller met toegang tot een geldig gesigneerd SAML-document van de identiteitsprovider zich als een andere geldige gebruiker authenticeren, aldus de uitleg van GitLab. Een aanvaller moet wel al een geldig gebruikersaccount hebben gecompromitteerd voordat de authentication bypass mogelijk is.
GitLab adviseert organisaties om de beschikbaar gestelde updates meteen te installeren. Wanneer dit niet mogelijk is wordt aangeraden om tweefactorauthenticatie (2FA) voor alle accounts in te schakelen, de SAML two-factor bypass optie niet toe te staan en te verplichten dat admins alle automatisch aangemaakte gebruikers eerst goedkeuren.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Hoofd Veiligheid
Dienst Justitiële Inrichtingen
Als Hoofd Veiligheid binnen de PI Leeuw-arden ligt de verantwoordelijkheid voor het waarborgen en verbeteren van het organi-satieonderdeel Veiligheid in jouw handen. Een unieke uitdaging met een grote impact. Die kans laat jij je niet ontnemen!
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.