GitLab решето — критическая уязвимость CVE-2023-7028, 10 баллов

Олег

12 января 2024

В GitLab CE/EE обнаружена критическая уязвимость (максимальный уровень опасности 10 из 10), затрагивающая все версии:

с 16.1 до 16.1.6
с 16.2 до 16.2.9
с 16.3 до 16.3.7
с 16.4 до 16.4.5
с 16.5 до 16.5.6
с 16.6 до 16.6.4
с 16.7 до 16.7.2

В уязвимых версиях электронные письма для сброса пароля учетной записи пользователя могут доставляться на неподтвержденный адрес электронной почты. В общем, это угон аккаунта, незащищённого двухфакторной аутентификацией.

Информация об уязвимостях передана в GitLab в рамках действующей на HackerOne программы bug bounty.

Патчи выпущены.

Ссылки

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-7028

https://t.me/APT_Notes/990

Group-IB Threat Hunting Framework Huntbox — лежит 04.08.2023

Олег

4 августа 2023
Подробнее о Group-IB Threat Hunting Framework Huntbox — лежит 04.08.2023

Group-IB Threat Hunting Framework — упал.

Утечка CDEK.Shopping и CDEK.Market

Олег

29 августа 2022
Подробнее о Утечка CDEK.Shopping и CDEK.Market

В свободном доступе появилось два дампа баз данных предположительно платформы для заказов товаров за рубежом "CDEK.Shopping" и маркетплейса "CDEK.Market".

Массовый угон аккаунтов в Телеграм

Олег

19 декабря 2022
Подробнее о Массовый угон аккаунтов в Телеграм

Пользователи российского сегмента Телеграм столкнулись с массовыми попытками кражи их аккаунтов. Новая фишинговая атака заключается в следующем: пользователю приходит сообщение из списка контактов о том, что ему отправлен подарок — подписка на Telegram Premium.