可令黑客遠(yuǎn)程接管賬號(hào)，消息稱仍有 2380 臺(tái)服務(wù)器未修復(fù) GitLab 重大漏洞 CVE-2023-7028

IT之家 5 月 7 日消息，GitLab 在今年 1 月公布平臺(tái)存在一項(xiàng) CVSS 達(dá)到滿分 10 分的重大漏洞“CVE-2023-7028”， 此后官方為社區(qū)版（CE）及企業(yè)版（EE）推出 16.7.2、16.6.4 及 16.5.6 安全更新，修復(fù)了相關(guān)漏洞。

參考IT之家此前報(bào)道，該漏洞與身份驗(yàn)證有關(guān)，由于 GitLab 支持用戶通過(guò)輔助電子郵件地址重置密碼，而相關(guān)電子郵件驗(yàn)證過(guò)程中存在錯(cuò)誤，用戶重置賬號(hào)密碼時(shí)可以將電子郵件發(fā)送到未經(jīng)驗(yàn)證的電子郵件地址，因此黑客能夠使用未經(jīng)驗(yàn)證的漏洞地址接管賬號(hào)。

不過(guò)據(jù) Shadowserver 基金會(huì)追蹤器，全球還有 2380 臺(tái)服務(wù)器沒(méi)有安裝相關(guān)安全更新，參考美 CISA 報(bào)告，目前已經(jīng)有黑客開(kāi)始利用“CVE-2023-7028”漏洞進(jìn)行攻擊，相關(guān)基金會(huì)呼吁用戶應(yīng)當(dāng)及時(shí)更新，并啟用雙重認(rèn)證功能，以免賬號(hào)遭到黑客盜用。

相關(guān)閱讀：

《可繞過(guò)郵件驗(yàn)證劫持賬號(hào)，GitLab 緊急修復(fù) CVSS 滿分密碼重置漏洞 CVE-2023-7028》

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。