Více než 5 300 instancí GitLabu je zranitelných vůči chybě s označením CVE-2023–7028, na kterou GitLab upozornil začátkem tohoto měsíce.
Kritická chyba se skóre CVSS 10,0 umožňuje útočníkům odesílat e-maily s obnovou hesla na e-mailovou adresu ovládanou útočníkem, což útočníkovi umožňuje změnit heslo a převzít účet. Chyba neumožňuje obejít dvoufaktorové ověřování (2FA), představuje významné riziko pro všechny účty, které nejsou chráněny dodatečným bezpečnostním mechanismem.
Problém se týká verzí GitLab Community a Enterprise Edition 16.1 před 16.1.5, 16.2 před 16.2.8, 16.3 před 16.3.6, 16.4 před 16.4.4, 16.5 před 16.5.6, 16.6 před 16.6.4 a 16.7 před 16.7.2. Společnost GitLab vydala 11. ledna opravy ve verzích 16.7.2, 16.5.6 a 16.6.4 a také backportovala opravy do verzí 16.1.6, 16.2.9 a 16.3.7.
ČLÁNKY DO MAILU