一、背景介绍
近日,监测到GitLab存在密码重置漏洞(CVE-2023-7028),该产品用量较大,建议相关尽快做好自查及防护。
1.1漏洞描述
Gitlab是目前被广泛使用的基于git的开源代码管理平台,基于Ruby on Rails构建,主要针对软件开发过程中产生的代码和文档进行管理。
未经身份验证的远程攻击者可以利用该漏洞将用户帐户密码重置电子邮件发送至任意邮箱。LDAP 用户不会受到影响,因为没有忘记/重置密码选项。此外,启用了双因素身份验证的用户很容易受到密码重置的影响,但帐户不会被接管,因为需要第二个身份验证因素才能登录。
1.2漏洞编号
CVE-2023-7028
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
GitLab CE/EE 16.1.x <= 16.1.5
GitLab CE/EE 16.2.x <= 16.2.8
GitLab CE/EE 16.3.x <= 16.3.6
GitLab CE/EE 16.4.x <= 16.4.4
GitLab CE/EE 16.5.x <= 16.5.6
GitLab CE/EE 16.6.x <= 16.6.4
GitLab CE/EE 16.7.x <= 16.7.2
2.2修复建议
目前官方已发布安全修复补丁,建议受影响用户可以升级到最新版本。
下载地址:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
