安全通告

GitLab 任意用户密码重置

漏洞预警通报

发布日期：2024-01-12

漏洞描述

2024年1月12日公司监测到Gitlab官网发布了GitLab 任意用户密码重置漏洞的更新通告。GitLab 是由GitLab Inc.开发的基于Git的软件开发平台。攻击者可利用忘记密码功能，构造恶意请求获取密码重置链接从而重置密码。建议相关客户尽快修复漏洞。

漏洞编号

CVE-2023-7028

漏洞危害

攻击者可利用忘记密码功能，构造恶意请求获取密码重置链接从而重置密码。

漏洞等级

严重

影响范围：

16.1 <= Gitlab < 16.1.6

16.2 <= Gitlab < 16.2.9

16.3 <= Gitlab < 16.3.7

16.4 <= Gitlab < 16.4.5

16.5 <= Gitlab < 16.5.6

16.6 <= Gitlab < 16.6.4

16.7 <= Gitlab < 16.7.2

修复方案

目前该漏洞已在官方最新版本中进行了更新修复，请相关用户尽快升级到最新版本。

链接如下：

https://about.gitlab.com/update/

参考链接

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/