X0_0X
IT之家1 月 16 日消息,GitLab 日前為社區版(CE)及企業版(EE)推出 16.7.2、16.6.4 及 16.5.6 安全更新,重點修復了 CVSS 風險評分達到 10 分的密碼重置漏洞 CVE-2023-7028。
據悉,該漏洞與身份驗證有關,由于 GitLab 支持用戶通過輔助電子郵件地址重置密碼,而相關電子郵件驗證過程中存在錯誤,用戶重置賬號密碼時可以將電子郵件發送到未經驗證的電子郵件地址,因此黑客能夠使用未經驗證的漏洞地址接管賬號。
IT之家注意到,相關漏洞影響版本 16.1-16.7.1,GitLab 呼吁用戶及時進行安全更新,并啟用雙重認證功能,以免賬號遭到黑客盜用。
值得一提的是,本次更新還修復了另一項“授權檢查不當漏洞”CVE-2023-5356,該漏洞影響 8.13 以上版本,CVSS 風險評分為 9.6,允許黑客濫用 Slack / Mattermost 集成,從而以其他用戶的身份執行斜杠命令。
原文參考:https://www.ithome.com/0/745/480.htm
007bug
上官雨寶
黑白之道
安全俠
一顆小胡椒
安全圈
Andrew
FreeBuf
安全圈
E安全
安全俠
安全俠
