GitLab پچ آسیب‌پذیری بحرانی را منتشر کرده است – فورا به روز‌رسانی کنید

0
251
GitLab پچ آسیب‌پذیری بحرانی را منتشر کرده است - فورا به روز‌رسانی کنید

GitLab به‌روزرسانی‌های امنیتی برای رسیدگی به دو آسیب‌پذیری بحرانی را منتشر کرده است، از جمله آسیب‌پذیری‌ای که می‌تواند کنترل حساب‌ کاربر را بدون هیچ گونه تعامل کاربر بدست بگیرد.

این آسیب‌پذیری که به‌عنوان CVE-2023-7028 ردیابی می‌شود، دارای حداکثر شدت ۱۰.۰ در سیستم امتیازدهی CVSS است و می‌تواند با ارسال ایمیل‌های بازنشانی رمز عبور به یک آدرس ایمیل تأیید نشده، تصاحب حساب را تسهیل کند.

پلتفرم DevSecOps گفت که این آسیب‌پذیری نتیجه یک اشکال در فرآیند تأیید ایمیل است که به کاربران اجازه می‌دهد رمز عبور خود را از طریق یک آدرس ایمیل ثانویه بازنشانی کنند.

این نقص بحرانی تمام نمونه‌های خود مدیریت GitLab Community Edition (CE) و Enterprise Edition (EE) را در نسخه‌های زیر تحت تاثیر قرار میدهد:

  • 16.1 تا 16.1.6
  • 16.2 تا 16.2.9
  • 16.3 تا 16.3.7
  • 16.4 تا  16.4.5
  • 16.5 تا  16.5.6
  • 16.6 تا  16.6.4
  • 16.7 تا  16.7.2

GitLab گفت که این مشکل را در نسخه‌های 16.5.6، 16.6.4، و 16.7.2 حل کرده است، علاوه بر این مشکل را در نسخه‌های 16.1.6، 16.2.9، 16.3.7 و 16.4.5 پیش‌انتقال کرده است. این شرکت همچنین خاطرنشان کرد که این اشکال در 16.1.0 در ۱ می ۲۰۲۳ بیان شده.

GitLab همچنین گفت: “در این نسخه‌ها، همه مکانیسم‌های احراز هویت تحت تاثیر قرار می‌گیرند.” علاوه بر این، کاربرانی که احراز هویت دو مرحله‌ای را فعال کرده‌اند، در برابر بازنشانی گذرواژه آسیب‌پذیر هستند، اما در برابر تصاحب حساب کاربری آسیب‌پذیر نیستند، زیرا برای ورود به عامل دوم احراز هویت آنها نیاز است.

برای کاهش هر گونه تهدید بالقوه، توصیه می‌شود نمونه‌ها را در اسرع وقت به یک نسخه پچ شده ارتقا دهید و 2FA را فعال کنید، به‌ویژه برای کاربرانی که امتیازات بالاتری دارند.

منبع: https://thehackernews.com/2024/01/urgent-gitlab-releases-patch-for.html

مقاله قبلیصرافی ارز دیجیتال ایران به طور تصادفی اطلاعات ۲۳۰ هزار کاربر را افشا کرد
مقاله بعدیبرخی از آمار مهم امنیت سایبری برای سال ۲۰۲۴

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.