安全通告
GitLab 任意用戶密碼重置
漏洞預(yù)警通報(bào)
發(fā)布日期:2024-01-12
?
漏洞描述
2024年1月12日公司監(jiān)測(cè)到Gitlab官網(wǎng)發(fā)布了GitLab 任意用戶密碼重置漏洞的更新通告。GitLab 是由GitLab Inc.開發(fā)的基于Git的軟件開發(fā)平臺(tái)。攻擊者可利用忘記密碼功能,構(gòu)造惡意請(qǐng)求獲取密碼重置鏈接從而重置密碼。建議相關(guān)客戶盡快修復(fù)漏洞。
漏洞編號(hào)
CVE-2023-7028
漏洞危害
攻擊者可利用忘記密碼功能,構(gòu)造惡意請(qǐng)求獲取密碼重置鏈接從而重置密碼。
漏洞等級(jí)
嚴(yán)重
影響范圍:
16.1 <= Gitlab < 16.1.6
16.2 <= Gitlab < 16.2.9
16.3 <= Gitlab < 16.3.7
16.4 <= Gitlab < 16.4.5
16.5 <= Gitlab < 16.5.6
16.6 <= Gitlab < 16.6.4
16.7 <= Gitlab < 16.7.2
修復(fù)方案
目前該漏洞已在官方最新版本中進(jìn)行了更新修復(fù),請(qǐng)相關(guān)用戶盡快升級(jí)到最新版本。
鏈接如下:
https://about.gitlab.com/update/
參考鏈接
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/