更新時間:2024/01/26 15:36:25
發佈時間:2024/01/26 10:32:19
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
調整漏洞內容說明
一、漏洞說明 [1]
GitLab 近期發布高風險帳號劫持漏洞資訊(CVE-2023-7028),攻擊者於受影響的系統發送既有帳號的密碼重設請求,藉由竊取密碼重設請求內的TOKEN,竄改相關字串後,可將密碼重設的信件發送至任意的電子郵件信箱,重設目標帳號的密碼後進而成功接管帳號。
二、已揭露攻擊程式碼說明
1.GitHub上已有相關POC程式碼[2]。
▶ 參考資訊
⌵
| 網址 | 說明 |
|---|---|
| https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/ | 1.GitLab |
| https://github.com/Vozec/CVE-2023-7028 | 2.GitHub |
▶ 影響平台
⌵
影響平台-系統:
GitLab (CE社群版與EE企業版) 16.1 至16.1.5 修復於16.1.6、16.2 至 16.2.8 修復於 16.2.9、16.3 至 16.3.6 修復於16.3.7、16.4 至 16.4.4 修復於 16.4.5、16.5 至 16.5.5 修復於 16.5.6、16.6 至 16.6.3 修復於 16.6.4、16.7 至 16.7.1 修復於 16.7.2
▶ 建議措施
⌵
1. GitLab已發布相關修補版本,建議會員依照單位內既有漏洞管理機制,評估後執行相關作業。
2. 應啟用多因子認證進行身份驗證,以防止密碼遭竄改後帳號被不當使用。
▶ 漏洞資訊
⌵
名稱:
CVE-2023-7028
描述:
使用版本:CVSS 3.1
分析分數:10
參考來源:GitLab
情資編號:
FISAC-200-202401-0002
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞