专栏名称: 绿盟科技CERT
绿盟科技CERT针对高危漏洞与安全事件进行快速响应,提供可落地的解决方案,协助用户提升应对威胁的能力。
目录
相关文章推荐
鲁中晨报  ·  全额退款,赔偿10倍现金!刚刚,海底捞再发声明 ·  11 小时前  
鲁中晨报  ·  反转了!确认系摆拍 ·  昨天  
山东省交通运输厅  ·  雨、雾、沙尘都要来!山东最新天气预报→ ·  昨天  
鲁中晨报  ·  今天起,淄博人洗完头可以调整一下了! ·  昨天  
鲁中晨报  ·  突发讣告!苦等80多年,她抱憾离世...... ·  2 天前  
51好读  ›  专栏  ›  绿盟科技CERT

【漏洞通告】GitLab任意用户密码重置漏洞(CVE-2023-7028)

绿盟科技CERT  · 公众号  ·  · 2024-01-12 16:55

正文

通告编号:NS-2024-0001

2024-01-14
TA G: GitLab EE/CE、密码重置、CVE-2023-7028
漏洞危害: 攻击者利用此漏洞 ,可实现任意用户密码重置
版本: 1.0

1

漏洞概述


近日,绿盟科技CERT监测到GitLab官方发布安全公告,修复了GitLab社区版(CE)和企业版(EE)中的多个安全漏洞,其中包括两个严重漏洞,请相关用户尽快采取措施进行防护。

CVE-2023-7028:GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,由于电子邮件验证过程中存在错误,攻击者可将重置帐户密码的邮件发送到未经验证的邮箱,在无需用户交互的情况下通过密码重置进行帐户接管,CVSS评分为10。

CVE-2023-5356:授权检查不当漏洞,攻击者可以滥用Slack/Mattermost集成以其他用户的身份执行斜杠命令,CVSS评分为9.6。

GitLab 是由 GitLab Inc.开发的一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。


参考链接:

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/


SEE MORE →



2 影响范围

受影响版本

CVE-2023-7028:

  • 16.1 <= GitLab CE/EE

  • 16.2 <= GitLab CE/EE

  • 16.3 <= GitLab CE/EE

  • 16.4 <= GitLab CE/EE

  • 16.5 <= GitLab CE/EE

  • 16.6 <= GitLab CE/EE

  • 16.7 <= GitLab CE/EE

注:于2023年5月1日在16.1.0中引入

CVE-2023-5356:

  • 8.13 <= GitLab CE/EE

  • 16.6 <= GitLab CE/EE

  • 16.7 <= GitLab CE/EE


不受影响版本

  • GitLab CE/EE >= 16.5.6

  • GitLab CE/EE >= 16.6.4

  • GitLab CE/EE >= 16.7.2

注:CVE-2023-7028的修复程序已向后移植到16.1.6、16.2.9、16.3.7和16.4.5。







请到「今天看啥」查看全文


推荐文章
鲁中晨报  ·  全额退款,赔偿10倍现金!刚刚,海底捞再发声明
11 小时前
鲁中晨报  ·  反转了!确认系摆拍
昨天
山东省交通运输厅  ·  雨、雾、沙尘都要来!山东最新天气预报→
昨天
鲁中晨报  ·  今天起,淄博人洗完头可以调整一下了!
昨天
鲁中晨报  ·  突发讣告!苦等80多年,她抱憾离世......
2 天前
InsDaily  ·  你说你有点难追,我就摔你玻璃杯
7 年前
药明康德  ·  盘点 | 糖尿病研究领域近期进展汇总(第20期)
7 年前
成都房帮帮  ·  博士后留川大任教,揣着40万来成都买房,连中介都笑我!
7 年前
央视新闻  ·  早啊!新闻来了〔2017.08.30〕
7 年前
上海房地产观察  ·  首付53万就能买到莘庄旁精装纯住宅!国庆特惠!
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!