GitLab 通过安全更新修复了帐户接管高危漏洞

admin 2022年6月11日22:15:54安全新闻评论16 views757字阅读2分31秒阅读模式

据Bleeping Computer网站6月3日消息,GitLab 为其社区版和企业版产品的多个版本发布了关键安全更新,以解决8个漏洞问题,其中一个为账户接管的高危漏洞。

GitLab 通过安全更新修复了帐户接管高危漏洞

这个帐户接管漏洞被追踪为 CVE-2022-1680,评分高达 9.9,影响 GitLab 11.10 至 14.9.4、14.10 至 14.10.3 和 15.0版本。控制 GitLab 帐户会带来严重后果,黑客可以访问开发人员的项目并窃取源代码。

根据公司公告,在具有特定配置的实例上可以利用该漏洞,当组SAML SSO被配置时,SCIM 功能(仅适用于 Premium+ 订阅)可能允许 Premium 组的任何所有者通过其用户名和电子邮件邀请任意用户,然后通过 SCIM 将这些用户的电子邮件地址更改为攻击者控制的电子邮件地址,因此,在没有 2FA 的情况下,攻击者能接管这些帐户,还可以更改目标帐户的显示名称和用户名。但若目标帐户上存在双因素身份验证 (2FA) ,则可以减少其滥用的概率。

安全更新的其他7个漏洞包含对另外两个高严重性缺陷的修复,一个是 Jira 集成组件中的跨站点脚本 (XSS) 问题,被跟踪为 CVE-2022-1940;评分为为 7.7;另一个是缺少输入验证漏洞,允许在联系人列表详细信息中注入 HTML 并启用 XSS 攻击,被跟踪为 CVE-2022-1948,评分为 8.7。

其余5个漏洞分别是IP白名单绕过问题、Web端授权不当、群组成员访问不当和锁绕过问题。

参考来源

https://www.bleepingcomputer.com/news/security/gitlab-security-update-fixes-critical-account-take-over-flaw/

GitLab 通过安全更新修复了帐户接管高危漏洞



精彩推荐






GitLab 通过安全更新修复了帐户接管高危漏洞

GitLab 通过安全更新修复了帐户接管高危漏洞
GitLab 通过安全更新修复了帐户接管高危漏洞
GitLab 通过安全更新修复了帐户接管高危漏洞

原文始发于微信公众号(FreeBuf):GitLab 通过安全更新修复了帐户接管高危漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月11日22:15:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  GitLab 通过安全更新修复了帐户接管高危漏洞 http://cn-sec.com/archives/1109259.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: