CVE-2023-7028_gitlab 任意用户密码重置漏洞复现
💡
原文中文,约2100字,阅读约需5分钟。
📝
内容提要
GitLab是一个开源的仓库管理系统,存在密码重置漏洞,攻击者可以通过密码重置接管用户账户。影响版本为16.1 <= Gitlab < 16.7.2。修复方案是升级至最新版本或开启双因素认证功能。
🎯
关键要点
- GitLab是一个开源的仓库管理系统,存在密码重置漏洞。
- 攻击者可以通过密码重置接管用户账户,影响版本为16.1 <= Gitlab < 16.7.2。
- CVSS3评分为10.0,漏洞严重。
- 修复方案是升级至最新版本或开启双因素认证功能。
- 环境搭建需要在docker中安装gitlab-ee:16.7.0。
- 配置邮件发送功能需要修改/etc/gitlab/gitlab.rb文件。
- 漏洞复现过程包括创建受害者账户并利用脚本发送重置邮件。
- 官方已发布安全更新,建议用户尽快升级。
➡️
