GitLab曝出硬编码密码高危漏洞,使得存在被劫持账户的威胁

Gitlab释放修补程序以获取可能让攻击者劫持账户的关键漏洞

最近的网络安全研究中,GitLab 发布了安全更新,以解决一个关键的安全漏洞,如果该漏洞被利用可能允许对手控制帐户。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,该漏洞号为 CVE-2022-1162,CVSS评分为 9.1,在 GitLab CE/EE 14.7 之前的 14.7.7、14.8 之前的 14.8.5 和 14.9 之前的 14.9.2 中,为使用OmniAuth 提供程序(例如 OAuth、LDAP、SAML)注册的帐户设置了硬编码密码,这使得攻击者可能会接管帐户。

GitLab 已经解决了 GitLab 社区版 (CE) 和企业版 (EE) 的最新版本 14.9.2、14.8.5 和 14.7.7 版本的漏洞,还表示出于谨慎考虑已采取重置密码的措施。

Gitlab释放修补程序以获取可能让攻击者劫持账户的关键漏洞

GitLab 还发布了一个脚本程序,自我管理实例的管理员可以运行该脚本来排查出可能受 CVE-2022-1162 影响的帐户。确定受影响的帐户后,建议重置密码。

作为安全更新的一部分,GitLab 还解决了2个高危存储型XSS跨站点脚本漏洞(CVE-2022-1175 和 CVE-2022-1190)以及9个中危漏洞和5个低危漏洞。鉴于高危漏洞的严重性,强烈建议运行受影响 GitLab 版本的用户尽快升级到最新版本。

 

GitLab曝出硬编码密码高危漏洞,使得存在被劫持账户的威胁

极牛网精选文章《GitLab曝出硬编码密码高危漏洞,使得存在被劫持账户的威胁》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18808.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年4月1日 上午11:07
下一篇 2022年4月2日 上午10:32

相关推荐

发表评论

登录后才能评论