GitLab решето — критическая уязвимость CVE-2023-7028, 10 баллов

Олег

  • 12 января 2024
GitLab

В GitLab CE/EE обнаружена критическая уязвимость (максимальный уровень опасности 10 из 10), затрагивающая все версии:

  • с 16.1 до 16.1.6
  • с 16.2 до 16.2.9
  • с 16.3 до 16.3.7
  • с 16.4 до 16.4.5
  • с 16.5 до 16.5.6
  • с 16.6 до 16.6.4
  • с 16.7 до 16.7.2

В уязвимых версиях электронные письма для сброса пароля учетной записи пользователя могут доставляться на неподтвержденный адрес электронной почты. В общем, это угон аккаунта, незащищённого двухфакторной аутентификацией.

Информация об уязвимостях передана в GitLab в рамках действующей на HackerOne программы bug bounty.

Патчи выпущены.

Ссылки

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-7028

https://t.me/APT_Notes/990

Теги

💰 Поддержать проект

 

Похожие материалы

Уязвимость BootHole в загрузчике GRUB2

Олег

Virus
Специалисты из компании Eclypsium обнаружили уязвимость переполнения буфера в конфигурационном файле загрузчика GRUB2, который используется при загрузке Windows, Linux, MacOS. Кроме того под удар попали серверные системы, ядра и гипервизоры. Информация была опубликована 29 июля 2020 года, по согласованию с поставщиками операционных систем и производителями компьютеров. Уязвимость позволяет выполнить при загрузке произвольный код.

Теги

МЭШ взломали

Олег

Родительский контроль security
По сообщениям экспертов Информационной безопасности экосистема московских школ МЭШ последние несколько дней лежит не просто так. Учителя не могут дать детям домашние задания, дети эти задания не могут скачать.

Теги

Exim — уязвимость Zero-day

Олег

Alarm тревога
Популярные почтовые сервера Exim находятся под угрозой. Обнаружено шесть ошибок, четыре из которых уязвимы к удалённому выполнению кода с рейтингом от 7.5 до 9.8 (!), а ещё две раскрывают конфиденциальную информацию.

Теги

Почитать