GitLab ออกแพตช์อุดช่องโหว่ความรุนแรงสูง ทำให้ขโมยบัญชีผู้ใช้งานได้

January 16, 2024 Cybersecurity, Software Development, Software Development & DevOps, Threats Update

GitLab ออกแพตช์อุดช่องโหว่ความรุนแรงสูง ทำให้ผู้โจมตีสามารถขโมยบัญชีผู้ใช้งานได้

ช่องโหว่ CVE-2023-7028 มีความรุนแรงตาม CVSSv3 score ระดับ 10/10 เกิดขึ้นในกระบวนการขอ Reset รหัสผ่านทางอีเมล ทำให้ผู้โจมตีสามารถสร้าง HTTP request เพื่อขอตั้งค่ารหัสผ่านใหม่ด้วยอีเมลที่ไม่มีอยู่ในระบบได้ ส่งผลให้ผู้ใช้งานที่ไม่ได้เปิด Two factor authentication (2FA) ตกอยู่ในความเสี่ยงในการเข้าถูกยึดบัญชีทันที สำหรับ GitLab เวอร์ชันที่มีช่องโหว่มีดังนี้

16.1 จนถึง 16.1.5
16.2 จนถึง 16.2.8
16.3 จนถึง 16.3.6
16.4 จนถึง 16.4.4
16.5 จนถึง 16.5.5
16.6 จนถึง 16.6.3
16.7 จนถึง 16.7.1

ผู้ดูแลระบบควรทำการอัปเดตเป็นเวอร์ชันล่าสุดทันที อย่างไรก็ตามยังไม่มีรายงานการโจมตีจากช่องโหว่นี้

ที่มา: https://www.theregister.com/2024/01/15/critical_gitlab_vulnerability/

Tags bug cve-2023-7028 gitlab patch

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Cisco ออกแพตช์แก้ช่องโหว่ Zero-day บน Catalyst SD-WAN Manager ที่ถูกใช้โจมตียกระดับสิทธิ์เป็น root

Cisco ปล่อยอัปเดตด้านความปลอดภัยแก้ช่องโหว่บน Catalyst SD-WAN Manager (เดิมคือ SD-WAN vManage) หลังพบว่าถูกใช้โจมตีจริงในลักษณะ Zero-day เพื่อยกระดับสิทธิ์เป็น root บนระบบที่ได้รับผลกระทบ