GitLab waarschuwt gebruikers voor een kritische kwetsbaarheid in GitLab Community Edition (CE) en Enterprise Edition (EE). Via de aangetroffen kwetsbaarheid CVE-2023-7028 kunnen hackers accounts overnemen. Inmiddels zijn patches uitgebracht.
Volgens GitLab maakt de CVE-2023-7028-kwetsbaarheid het mogelijk om op eenvoudige wijze accounts over te nemen. Dit kan namelijk door e-mails voor het resetten van de wachtwoorden op een niet-geverifieerd e-mailadres af te laten leveren. Wie geen 2FA heeft ingeschakeld, kan zonder de nieuwe patch toegang tot het eigen account verliezen.
Wanneer CE- en Enterprise-eindgebruikers voor het inloggen op hun accounts wel 2FA gebruiken, zijn de hackers met de kwetsbaarheid alleen in staat om wachtwoorden te resetten. De accounts kunnen dan niet zomaar worden overgenomen wegens de externe verificatiemethode die vereist is.
Probleem met e-mailverificatie
De kwetsbaarheid werd zelf door GitLab geïntroduceerd met de release van de GitLab CE- en Enterprise-edities v 16.1.0. Hierbij werd onder meer de mogelijkheid toegevoegd om een wachtwoord via een tweede e-mailadres te resetten. Het gaat om een bug die in het e-mailverificatieproces is belandt.
Nog geen actieve exploits
De bug is al sinds de maand mei 2023 actief, maar mogelijk onbekend gebleven. Actieve exploits van de kwetsbaarheid zijn niet bekend, maar GitLab roept gebruikers die het platform zelf hosten de eigen logbestanden goed te controleren.
Het ontwikkelplatform heeft de bug al gepatcht en voor beide edities de geüpdatete versies 16.7.2, 16.6.4 en 16.5.6 uitgebracht. Eindgebruikers moeten zo snel mogelijk de updates doorvoeren, geeft GitLab aan.
Lees ook: GitLab 16 onthuld
22 uur geleden
