近期,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,GitLab存在任意用户密码重置高危漏洞,影响广泛。

GitLab是由美国GitLab公司开发的一款开源代码托管平台,由于忘记密码功能的电子邮件验证过程存在错误,攻击者可通过构造恶意请求获取密码重置链接从而重置密码,导致在无需用户交互的情况下接管帐户,造成项目代码泄露或被植入恶意代码等危害。该漏洞影响GitLab社区版(CE)和企业版(EE)(GitLab CE/EE 16.1-16.1.5、16.2-16.2.8、16.3-16.3.6、16.4-16.4.4、16.5-16.5.5、16.6-16.6.3、16.7-16.7.1),目前官方已发布修复方案(https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/)。

建议相关单位和用户立即组织排查GitLab的使用情况,及时升级受影响的产品版本,并可采取启用GitLab 帐户双因素身份验证(2FA)、严格系统和网络访问控制、关闭非必要应用端口和服务、加强系统用户及权限管理等加固措施,防范漏洞利用风险。

声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。