IT之家 1 月 16 日消息,GitLab 日前为社区版(CE)及企业版(EE)推出 16.7.2、16.6.4 及 16.5.6 安全更新,重点修复了 CVSS 风险评分达到 10 分的密码重置漏洞 CVE-2023-7028。据悉,该漏洞与身份验证有关,由于 GitLab 支持用户通过辅助电子邮件地址重置密码,而相关电子邮件验证过程中存在错误,用户重置账号密码时可以将电子邮件发送到未经验证的电子邮件地址,因此黑客能够使用未经验证的漏洞地址接管账号。IT之家注意到,相关漏洞影响版本 16.1-16.7.1,GitLab 呼吁用户及时进行安全更新,并启用双重认证功能,以免账号遭到黑客盗用。值得一提的是,本次更新还修复了另一项“授权检查不当漏洞”CVE-2023-5356,该漏洞影响 8.13 以上版本,CVSS 风险评分为 9.6,允许黑客滥用 Slack / Mattermost 集成,从而以其他用户的身份执行斜杠
可绕过邮件验证劫持账号,GitLab 紧急修复 CVSS 满分密码重置漏洞 CVE-2023-7028
2024-01-16 13:47:05来源: IT之家
关注公众号
赞
你的鼓励是对作者的最大支持
- Adobe 发布更新修复旗下 Acrobat Reader / FrameMaker 等软件多项重大漏洞2024-05-16 13:51:37
- 含 AI 工具中的“满分”漏洞,英特尔发 41 份公告修复 90 个漏洞2024-05-16 14:42:29
- 可令黑客远程接管账号,消息称仍有 2380 台服务器未修复 GitLab 重大漏洞 CVE-2023-70282024-05-07 17:20:01
- 微软发现严重安全漏洞,影响数十亿下载量 Android 应用2024-05-05 15:02:57
- 开源编程语言 R 曝光存在 8.8 分代码执行漏洞 CVE-2024-27322,可引发供应链攻击2024-05-04 14:37:16
- AMD 发布新 AGESA 固件更新,修复影响 Zen 2 处理器的 Zenbleed 漏洞2024-05-03 15:15:34
- 六年未解决,部分英特尔、联想服务器仍受 2018 年 BMC 漏洞影响2024-04-16 19:52:28
- 微软发布安全指南,修改 Win10 / Win11 注册表缓解英特尔处理器“幽灵 v2”漏洞2024-04-16 12:41:18
- 微软 SharePoint 被曝安全漏洞,被黑客利用可访问、下载日志文件2024-04-13 09:57:10
- 7 名新能源车主“薅羊毛”被抓,利用系统漏洞免费充电2024-04-05 17:29:44
- 1瑞士信息与通信科技公司Assaia International研发AI视觉识别软件,提高机场空侧运营周转效率 | 瑞士创…
- 2成都都市圈投资机会清单发布,拟投资金额超过8400亿元
- 3上海试点智能网联汽车等跨境数据传输
- 4上海启动首批国资国企区块链创新应用场景建设
- 5京东运动式做内容,能大力出奇迹么?
- 6上海市经信委主任:将加快开源人形机器人原型机研发
- 7乔治白:监事会主席李富华的配偶短线交易公司股票
- 8中外歌手“乐坛论剑”,《歌手2024》到底比的是什么?
- 9贝恩资本计划未来5年内将其在日本投资规模翻番
- 10盛和资源:公司全资子公司晨光稀土拟收购STA公司全资子公司SRUL公司100%股权