GitLab vừa phát hành bản cập nhật an ninh cho cả Phiên bản Cộng đồng và Doanh nghiệp để khắc phục hai lỗ hổng nghiêm trọng, một trong số đó cho phép chiếm đoạt tài khoản mà không cần sự tương tác của người dùng.
Nhà cung cấp khuyến cáo người dùng cập nhật sớm nhất có thể các phiên bản ảnh hưởng của nền tảng DevSecOps (cần cập nhật thủ công cho các bản cài đặt self-host).
Lỗ hổng có mã theo dõi CVE-2023-7028, CVSS 10/10, là vấn đề xác thực cho phép các yêu cầu đặt lại mật khẩu được gửi đến các địa chỉ email tùy ý, chưa được xác minh, từ đó chiếm đoạt tài khoản.
Vấn đề được nhà nghiên cứu bảo mật Asterion phát hiện và báo cáo cho GitLab thông qua nền tảng trao thưởng lỗ hổng HackerOne.
GitLab cho biết chưa phát hiện bất kỳ trường hợp nào khai thác lỗ hổng trong thực tế.
Nguồn: Bleeping Computer