GitLab waarschuwt voor twee kritieke kwetsbaarheden waardoor een aanvaller in bepaalde gevallen de authenticatie kan omzeilen. Er zijn beveiligingsupdates uitgebracht om het probleem te verhelpen. GitLab is een populaire online DevOps-tool voor het ontwikkelen van software. Organisaties kunnen GitLab op hun eigen server of servers installeren.

Wanneer SAML SSO-authenticatie is ingeschakeld maakt GitLab gebruik van de ruby-saml library. Deze library bevat twee kritieke 'authentication bypass' kwetsbaarheden, aangeduid als CVE-2025-25291 en CVE-2025-25292. In bepaalde gevallen kan een aanvaller met toegang tot een geldig gesigneerd SAML-document van de identiteitsprovider zich als een andere geldige gebruiker authenticeren, aldus de uitleg van GitLab. Een aanvaller moet wel al een geldig gebruikersaccount hebben gecompromitteerd voordat de authentication bypass mogelijk is.

GitLab adviseert organisaties om de beschikbaar gestelde updates meteen te installeren. Wanneer dit niet mogelijk is wordt aangeraden om tweefactorauthenticatie (2FA) voor alle accounts in te schakelen, de SAML two-factor bypass optie niet toe te staan en te verplichten dat admins alle automatisch aangemaakte gebruikers eerst goedkeuren.