CNNVD | 关于GitLab安全漏洞的通报

admin 2024年1月16日22:28:17评论139 views字数 1361阅读4分32秒阅读模式
CNNVD | 关于GitLab安全漏洞的通报
CNNVD | 关于GitLab安全漏洞的通报
CNNVD | 关于GitLab安全漏洞的通报
CNNVD | 关于GitLab安全漏洞的通报
CNNVD | 关于GitLab安全漏洞的通报

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

近日,国家信息安全漏洞库(CNNVD)收到关于GitLab安全漏洞(CNNVD-202401-1171、CVE-2023-7028)情况的报送。攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、漏洞介绍
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。该漏洞源于过滤不严格导致,攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。
二、危害影响
成功利用漏洞的攻击者可重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。
三、修复建议
目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
本通报由CNNVD技术支撑单位——北京安天网络安全技术有限公司、华为技术有限公司、奇安信网神信息技术(北京)股份有限公司、北京网御星云信息技术有限公司、内蒙古旌云科技有限公司、博智安全科技股份有限公司、中国电信股份有限公司网络安全产品运营中心、北京中金安服科技有限公司、江苏百达智慧网络科技有限公司、证通股份有限公司、安全邦(北京)信息技术有限公司、北京山石网科信息技术有限公司、北京边界无限科技有限公司、西安交大捷普网络科技有限公司、烽台科技(北京)有限公司、深圳市深信服信息安全有限公司、远江盛邦(北京)网络安全科技股份有限公司、北方实验室(沈阳)股份有限公司、杭州麦卡微科技有限公司、北京安博通科技股份有限公司、北京边界无限科技有限公司、中孚安全技术有限公司、北京华云安信息技术有限公司、北京雪诺科技有限公司、数字新时代(山东)数据科技服务有限公司、清远职业技术学院、新华三技术有限公司等技术支撑单位提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
联系方式: [email protected]

(来源:CNNVD)

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情

CNNVD | 关于GitLab安全漏洞的通报

原文始发于微信公众号(中国信息安全):CNNVD | 关于GitLab安全漏洞的通报

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年1月16日22:28:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CNNVD | 关于GitLab安全漏洞的通报https://cn-sec.com/archives/2399915.html

发表评论

匿名网友 填写信息