GitLab решето — критическая уязвимость CVE-2023-7028, 10 баллов

Олег

12 января 2024

В GitLab CE/EE обнаружена критическая уязвимость (максимальный уровень опасности 10 из 10), затрагивающая все версии:

с 16.1 до 16.1.6
с 16.2 до 16.2.9
с 16.3 до 16.3.7
с 16.4 до 16.4.5
с 16.5 до 16.5.6
с 16.6 до 16.6.4
с 16.7 до 16.7.2

В уязвимых версиях электронные письма для сброса пароля учетной записи пользователя могут доставляться на неподтвержденный адрес электронной почты. В общем, это угон аккаунта, незащищённого двухфакторной аутентификацией.

Информация об уязвимостях передана в GitLab в рамках действующей на HackerOne программы bug bounty.

Патчи выпущены.

Ссылки

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-7028

https://t.me/APT_Notes/990

CTF — рубрика и расписание мероприятий

Олег

3 июля 2023
Подробнее о CTF — рубрика и расписание мероприятий

Capture the Flag (CTF) — это соревнование по кибербезопасности, которое используется для проверки навыков информационной безопасности. Захват флага (секретного кода) — это упражнение, в котором организаторы тайно прячут "флаги" в преднамеренно уязвимых программах или веб-сайтах.

Взлом НСПК

Олег

30 октября 2023
Подробнее о Взлом НСПК

Появилась информация о взломе российской платёжной системы "Мир" и её оператора Национальной системы платёжных карт (НСПК).

Утечка Альфастрахование

Олег

28 апреля 2023
Подробнее о Утечка Альфастрахование

В сети выложили файл в 1 млн строк, который, по описанию, содержит данные клиентов "Альфастрахования". Это только часть данных, полная база, по словам хакеров, содержит 14 млн строк.