Разработчики GitLab патчат две критические уязвимости В
GitLab устранили сразу две критические уязвимости, одну из которых можно было использовать для захвата учетных записей без какого-либо
взаимодействия с пользователем. Наиболее опасная из уязвимостей,
CVE-2023-7028, получила максимальные 10 баллов по шкале
CVSS и может использоваться для захвата учетной записи путем отправки письма для сброса пароля на произвольный, непроверенный
адрес электронной почты. Сообщается, что этот баг является результатом ошибки в процессе верификации email, которая позволяла сбрасывать пароль через дополнительный адрес электронной почты. Уязвимость затрагивает все
self-managed экземпляры
GitLab Community Edition (CE) и
Enterprise Edition (EE) GitLab сообщает, что устранила проблему в версиях GitLab 16.5.6, 16.6.4 и 16.7.2, а также сделала
бэкпорт исправлений в версии 16.1.6, 16.2.9, 16.3.7 и 16.4.5. Компания отмечает, что ошибка появилась еще в версии 16.1.0, то есть в мае 2023 года.