近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202401-1171、CVE-2023-7028)情况的报送。华云安作为CNNVD技术支撑单位为此漏洞通报提供支持。
通 报
据悉通过该漏洞,攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
1. 漏洞介绍
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。该漏洞源于过滤不严格导致,攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。
2. 危害影响
成功利用漏洞的攻击者可重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。
3.修复建议
目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
