ГлавнаяБаза уязвимостей БДУ → BDU:2024-00259
10критическая

BDU:2024-00259 (CVE-2023-7028)

Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, вызванная возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса, позволяющая нарушителю получить несанкционированный доступ к учётной записи произвольного пользователя
Опубликовано: 2024-01-15
Описание

Уязвимость программной платформы на базе git для совместной работы над кодом GitLab вызвана возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к учётной записи произвольного пользователя через манипуляции с формой восстановления забытого пароля

Затрагиваемое ПО и версии
Gitlab (от 16.1 до 16.1.6)Gitlab (от 16.2 до 16.2.9)Gitlab (от 16.3 до 16.3.7)Gitlab (от 16.4 до 16.4.5)Gitlab (от 16.6 до 16.6.4)Gitlab (от 16.7 до 16.7.2)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Обновление программного обеспечения до версий 16.1.6, 16.2.9, 16.3.7 и 16.4.5, 16.5.6, 16.6.4 и 16.7.2 и выше

Компенсирующие меры:
- влючение двухфакторной аутентификации.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.opennet.ru/opennews/art.shtml?num=60425https://www.helpnetsecurity.com/2024/01/12/cve-2023-7028/https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/https://gitlab.com/gitlab-org/gitlab/-/issues/436084https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена