GitLab решето — критическая уязвимость CVE-2023-7028, 10 баллов

Олег

  • 12 января 2024
GitLab

В GitLab CE/EE обнаружена критическая уязвимость (максимальный уровень опасности 10 из 10), затрагивающая все версии:

  • с 16.1 до 16.1.6
  • с 16.2 до 16.2.9
  • с 16.3 до 16.3.7
  • с 16.4 до 16.4.5
  • с 16.5 до 16.5.6
  • с 16.6 до 16.6.4
  • с 16.7 до 16.7.2

В уязвимых версиях электронные письма для сброса пароля учетной записи пользователя могут доставляться на неподтвержденный адрес электронной почты. В общем, это угон аккаунта, незащищённого двухфакторной аутентификацией.

Информация об уязвимостях передана в GitLab в рамках действующей на HackerOne программы bug bounty.

Патчи выпущены.

Ссылки

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-7028

https://t.me/APT_Notes/990

Теги

💰 Поддержать проект

 

Похожие материалы

HPE — SSD диски перестают работать после 40000 часов

Олег

Hewlett Packard Enterprise
Снова проблема с SSD дисками HPE. На этот раз некоторые SSD модели выходят из строя после 40000 часов работы. Для устранения неполадки нужно обновить прошивку дисков.

Теги

Минцифры поддержит белых хакеров

Олег

Information Seciurity
Министерство цифрового развития решило поддержать белых хакеров. Минцифры совместно с ИБ компаниями в рамках импортозамещения  готовит план финансовой поддержки разработки отечественных решений в сфере ИБ.

Теги

Почитать

 
Продолжая пользоваться сайтом, вы даете согласие на использование файлов cookie. Согласен