【严重】GitLab 账号接管漏洞

这篇具有很好参考价值的文章主要介绍了【严重】GitLab 账号接管漏洞。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 漏洞描述

GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台。


GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许通过未经确认电子邮件重置密码。攻击者可以利用此漏洞将用户帐户密码重置电子邮件发送任意未经验证的电子邮件地址,导致用户帐户被接管。

漏洞名称

GitLab 账号接管漏洞

漏洞类型 从非可信控制范围包含功能例程
发现时间 2024/1/12
漏洞影响广度 广
MPS编号 MPS-vbt9-zgx1
CVE编号 CVE-2023-7028
CNVD编号 -

影响范围

gitlab@[16.1, 16.1.6)

gitlab@[16.2, 16.2.9)

gitlab@[16.3, 16.3.7)

gitlab@[16.4, 16.4.5)

gitlab@[16.5, 16.5.6)

gitlab@[16.6, 16.6.4)

gitlab@[16.7, 16.7.2)

gitlab@影响所有版本

修复方案

将 gitlab 升级至 16.4.5 及以上版本

将 gitlab 升级至 16.5.6 及以上版本

将 gitlab 升级至 16.6.4 及以上版本

将组件 gitlab 升级至 16.7.2 及以上版本

将组件 gitlab 升级至 16.1.6 及以上版本

将组件 gitlab 升级至 16.2.9 及以上版本

将组件 gitlab 升级至 16.3.7 及以上版本

参考链接

OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

User password reset accepts multiple email addresses (44deb06e) · Commits · GitLab.org / GitLab · GitLab

GitLab Critical Security Release: 16.7.2, 16.6.4, 16.5.6|GitLab

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自于百度、华为、乌云等企业,旗下的 MurphySec 软件供应链安全平台提供资产识别管理、风险检测、安全控制、一键修复等能力。

免费漏洞情报订阅

平台会通过实时监控多方渠道并进行人工分析,一手情报订阅地址:OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全

免费代码安全检测工具

丰富的漏洞库及强大的检测能力,杜绝漏洞带来的风险隐患,工具地址: 墨菲安全 | 为您提供专业的软件供应链安全管理

开源项目

核心检测能力已开源,欢迎各位同学 Star⭐️

https://github.com/murphysecurity/murphysec/?sf=qbyj 文章来源地址https://www.toymoban.com/news/detail-794970.html

到了这里,关于【严重】GitLab 账号接管漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • gitlab没有push权限,重设账号密码仍然不行,问题解决

    目录 一  问题描述 二  权限问题 三 参考链接 $ git push Enumerating objects: 570, done. Counting objects: 100% (570/570), done. Delta compression using up to 12 threads Compressing objects: 100% (541/541), done. Writing objects: 100% (560/560), 75.00 MiB | 4.18 MiB/s, done. Total 560 (delta 166), reused 10 (delta 5) remote: Resolving deltas:

    2024年02月16日
    浏览(44)
  • git 配置多端多个账号(码云、github、gitlab)

    首先要确认已经安装 Git,可以通过执行 git --version 命令来查看当前安装的版本。 想为同一个电脑配置多个 Git 账户,需要完成以下整体流程: 清空默认的全局 user.name 和 user.email 配置项; 为不同的 Git 账户生成不同的 SSH 密钥; 将以上的 SSH 密钥分别添加到 SSH-Agent 信任列表

    2024年02月04日
    浏览(44)
  • Git多账号管理通过ssh 公钥的方式,git,gitlab,gitee

    按照目前国内访问git,如果不科学上网,我们很大可能访问会超时。基于这个,所以我现在的git 配置已经增加到了3个了 一个公司gitlab,一个git,一个gitee. 以下基于这个环境,我们来说明下如何创建配置ssh公钥。 以下操作都基于win11系统 这一步生成过程中,可以给rsa文件取

    2024年02月07日
    浏览(45)
  • 【网络安全】URL解析器混淆攻击实现ChatGPT账户接管、Glassdoor服务器XSS

    本文不承担任何由于传播、利用本文所发布内容而造成的任何后果及法律责任。 本文将基于ChatGPT及Glassdoor两个实例阐发URL解析器混淆攻击。 开始本文前,推荐阅读:【网络安全】Web缓存欺骗攻击原理及攻防实战 ChatGPT新增了\\\"分享\\\"功能,该功能允许用户与其他人公开分享聊天

    2024年02月20日
    浏览(56)
  • 没有外网的麒麟系统上搭建GitLab服务并且无需客户端账号密码验证

    要在没有外网的麒麟系统上搭建GitLab服务并且无需客户端账号密码验证,可以按照以下步骤进行操作: 安装必要的依赖包和软件 安装GitLab的依赖工具 下载并安装GitLab 配置GitLab 打开GitLab配置文件并做出如下修改: 将 external_url 配置为: 去掉 nginx 配置: 添加GitLab监听所有本

    2024年02月09日
    浏览(44)
  • CVE-2021-22205 GitLab 远程命令执行漏洞复现

    目录 一、漏洞信息 二、环境搭建 三、复现过程 1.测试漏洞 2.漏洞利用,反弹shell 四、修复建议 一、漏洞信息 漏洞名称 GITLAB 远程命令执行漏洞 漏洞编号 CVE-2021-22205 危害等级 高危 CVSS评分 6.5 漏洞厂商 Ruby 受影响版本 11.9 = Gitlab CE/EE 13.8.8;13.9 = Gitlab CE/EE 13.9.6;13.10 = Gitlab

    2024年02月05日
    浏览(42)
  • 9.网络游戏逆向分析与漏洞攻防-游戏网络架构逆向分析-接管游戏连接服务器的操作

    内容参考于:易道云信息技术研究院VIP课 上一个内容:游戏底层功能对接类GameProc的实现 码云地址(master 分支):https://gitee.com/dye_your_fingers/titan 码云版本号:44c54d30370d3621c1e9ec3d7fa1e2a028e773e9 代码下载地址,在 titan 目录下,文件名为:titan-接管游戏连接服务器的操作.zip 链接

    2024年03月08日
    浏览(43)
  • CVE-2021-22204 GitLab RCE之exiftool代码执行漏洞深入分析(二)

    文章写于2022-01-19,首发在天融信阿尔法实验室 1 前言 2 前置知识 2.1 JPEG文件格式 2.2 Perl模式匹配 3 exiftool源码调试到漏洞分析 3.1 环境搭建 3.2 漏洞简介 3.3 exiftool是如何解析嵌入的0xc51b标签 3.4 exiftool是如何调用parseAnt函数 3.5 parseAnt函数分析 3.6 parseAnt漏洞分析 4 漏洞利用 4.1

    2024年02月14日
    浏览(38)
  • 【网络安全】命令执行漏洞

    应用程序中有时候需要调用一些执行系统命令的函数,在php中常见的为 system 、 exec 、 shell_exec 、 passthru 、 proc_poen 、 popen 等函数用来执行系统命令。当黑客能控制这些函数的参数时,就可以讲恶意的系统命令拼接到正常的命令中,就会命令执行攻击,这就是命令执行漏洞。

    2024年02月03日
    浏览(38)
  • 【网络安全】Xss漏洞

    定义: XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是一种在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到 web 网站里面,供给其它用户访问,当用户访问到有恶意代码的网页就会产生

    2023年04月20日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包