近日,国家信息安全漏洞库收到关于GitLab安全漏洞情况的报送。攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的、Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。该漏洞源于过滤不严格导致,攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接,从而重置目标用户密码并实现账号接管。
成功利用漏洞的攻击者可重置目标用户密码并实现账号接管。GitLab CE/EE 16.1.0-16.1.5版本、16.2.0-16.2.8版本、16.3.0-16.3.6版本、16.4.0-16.4.4版本、16.5.0-16.5.5版本、16.6.0-16.6.3版本、16.7.0-16.7.1版本均受此漏洞影响。
目前,GitLab官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方参考链接:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
![关于GitLab安全漏洞的通报]( "关于GitLab安全漏洞的通报")
原文始发于微信公众号(网络威胁数据联盟):关于GitLab安全漏洞的通报
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/2406618.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论