菜单
漏洞描述:
GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。
GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,由于GitLab CE/EE多个受影响版本中电子邮件验证过程中存在错误,攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接从而重置密码并实现账号接管。
影响版本:
16.1 <=GitLab CE<=16.1.5
16.2 <=GitLab CE<=16.2.8
16.3 <=GitLab CE<=16.3.6
16.4 <=GitLab CE<=16.4.4
16.5 <=GitLab CE<=16.5.6
16.6 <=GitLab CE<=16.6.4
16.7 <=GitLab CE<=16.7.2
16.1 <=GitLab EE<=16.1.5
16.2 <=GitLab EE<=16.2.8
16.3 <=GitLab EE<=16.3.6
16.4 <=GitLab EE<=16.4.4
16.5 <=GitLab EE<=16.5.6
16.6 <=GitLab EE<=16.6.4
16.7 <=GitLab EE<=16.7.2
修复建议
官方已修复该漏洞,建议用户更新到安全版本。
安全版本:
GitLab CE/EE >= 16.5.6
GitLab CE/EE >= 16.6.4
GitLab CE/EE >= 16.7.2
参考链接:
https://about.gitlab.com/
参考链接:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
粤公网安备 44010402002568号