GitLab ออกแพตช์อุดช่องโหว่ความรุนแรงสูง ทำให้ขโมยบัญชีผู้ใช้งานได้

GitLab ออกแพตช์อุดช่องโหว่ความรุนแรงสูง ทำให้ผู้โจมตีสามารถขโมยบัญชีผู้ใช้งานได้

ช่องโหว่ CVE-2023-7028 มีความรุนแรงตาม CVSSv3 score ระดับ 10/10 เกิดขึ้นในกระบวนการขอ Reset รหัสผ่านทางอีเมล ทำให้ผู้โจมตีสามารถสร้าง HTTP request เพื่อขอตั้งค่ารหัสผ่านใหม่ด้วยอีเมลที่ไม่มีอยู่ในระบบได้ ส่งผลให้ผู้ใช้งานที่ไม่ได้เปิด Two factor authentication (2FA) ตกอยู่ในความเสี่ยงในการเข้าถูกยึดบัญชีทันที สำหรับ GitLab เวอร์ชันที่มีช่องโหว่มีดังนี้

• 16.1 จนถึง 16.1.5
• 16.2 จนถึง 16.2.8
• 16.3 จนถึง 16.3.6
• 16.4 จนถึง 16.4.4
• 16.5 จนถึง 16.5.5
• 16.6 จนถึง 16.6.3
• 16.7 จนถึง 16.7.1

ผู้ดูแลระบบควรทำการอัปเดตเป็นเวอร์ชันล่าสุดทันที อย่างไรก็ตามยังไม่มีรายงานการโจมตีจากช่องโหว่นี้

ที่มา: https://www.theregister.com/2024/01/15/critical_gitlab_vulnerability/