立即更新！GitLab曝滿分零點選賬戶劫持漏洞

1月11日，GitLab釋出了一個緊急安全更新，以修復一個CVSS評分10分的零點選賬戶劫持漏洞。攻擊者能夠透過密碼重置接管受害者賬戶，並且無需任何使用者互動。

據瞭解，這是GitLab CE/EE中的一個認證問題，影響從16.1到16.1.6、16.2到16.2.9、16.3到16.3.7、16.4到16.4.5、16.5到16.5.6、16.6到16.6.4和16.7到16.7.2的所有版本，允許將使用者賬戶重置密碼請求傳送到任意未經驗證的電子郵件地址，從而導致賬戶劫持。

GitLab在公告中解釋說，該漏洞是在2023年5月1日的16.1.0版本中引入的。GitLab在16.1.0版本中進行了更改，允許使用者透過輔助電子郵件地址重置其密碼。該漏洞由電子郵件驗證過程中的錯誤導致，GitLab在最新的補丁中修復了該錯誤，並實施了一些安全措施來保護客戶。

GitLab強烈建議自託管GitLab例項的管理員立即將所有受影響的版本更新到最新發布的修補版本，並且建議使用者為所有的GitLab賬戶（特別是管理員賬戶）啟用雙因素身份驗證。

好訊息是GitLab表示目前尚未在由GitLab管理的平臺上檢測到CVE-2023-7028的任何濫用行為。有所擔心的使用者可透過以下方式進行自查：

除此之外，GitLab還在這次更新中修補了另一個CVSS評分9.6的嚴重漏洞（CVE-2023-5356），該漏洞允許攻擊者利用Slack/Mattermost整合以其他使用者身份執行斜槓命令。

GitLab公告連結：https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

編輯：左右裡

資訊來源：GitLab

轉載請註明出處和本文連結