新聚网感谢IT之家网友 OC_Formula 的线索投递!
据悉,该漏洞与身份验证有关,由于 GitLab 支持用户通过辅助电子邮件地址重置密码,而相关电子邮件验证过程中存在错误,用户重置账号密码时可以将电子邮件发送到未经验证的电子邮件地址,因此黑客能够使用未经验证的漏洞地址接管账号。
IT之家注意到,相关漏洞影响版本 16.1-16.7.1,GitLab 呼吁用户及时进行安全更新,并启用双重认证功能,以免账号遭到黑客盗用。
值得一提的是,本次更新还修复了另一项“授权检查不当漏洞”CVE-2023-5356,该漏洞影响 8.13 以上版本,CVSS 风险评分为 9.6,允许黑客滥用 Slack / Mattermost 集成,从而以其他用户的身份执行斜杠命令。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。
未经允许不得转载:新聚网 » 可绕过邮件验证劫持账号,GitLab 紧急修复 CVSS 满分密码重置漏洞 CVE-2023-7028
Swift Assist 进化:苹果 Xcode 26 可接入端侧、Claude 等 AI 编程模型
安全公司曝光黑客盗用开发团队账号在 NPM 平台散布恶意软件包,涉及 React Native / GlueStack 项目
英特尔发布 32.0.101.6881 WHQL 显卡驱动,修复《守望先锋 2》游戏崩溃问题
时隔一年半,苹果手记 Journal 应用将随 macOS / iPadOS 26 登陆 Mac / iPad
苹果推出容器化框架,可直接在 Mac 上创建、下载或运行 Linux 容器镜像
微软 Win10 / Win11 新版 Outlook 被曝新问题:重要会议安排凭空消失
Linux 6.16 首个 RC 候选版发布:提升电源管理效率、扩展硬件支持、优化 EXT4 文件系统
