| 漏洞类型 | 从非可信控制范围包含功能例程 | 发现时间 | 2024-01-12 | 漏洞等级 | 严重 |
| MPS编号 | MPS-vbt9-zgx1 | CVE编号 | CVE-2023-7028 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| GitLab 是由GitLab公司开发的、基于Git的集成软件开发平台 GitLab CE/EE中支持用户通过辅助电子邮件地址重置密码,默认情况允许通过未经确认电子邮件重置密码。攻击者可以利用此漏洞将用户帐户密码重置电子邮件发送任意未经验证的电子邮件地址,导致用户帐户被接管。 参考链接:https://www.oscs1024.com/hd/MPS-vbt9-zgx1 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| gitlab [16.1, 16.1.6) | 升级 | 将组件 gitlab 升级至 16.1.6 及以上版本 |
| gitlab [16.2, 16.2.9) | 升级 | 将组件 gitlab 升级至 16.2.9 及以上版本 |
| gitlab [16.3, 16.3.7) | 升级 | 将组件 gitlab 升级至 16.3.7 及以上版本 |
| gitlab [16.4, 16.4.5) | 升级 | 将 gitlab 升级至 16.4.5 及以上版本 |
| gitlab [16.5, 16.5.6) | 升级 | 将 gitlab 升级至 16.5.6 及以上版本 |
| gitlab [16.6, 16.6.4) | 升级 | 将 gitlab 升级至 16.6.4 及以上版本 |
| gitlab [16.7, 16.7.2) | 升级 | 将组件 gitlab 升级至 16.7.2 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-vbt9-zgx1 | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-vbt9-zgx1
https://gitlab.com/gitlab-org/gitlab/-/commit/44deb06e2c8e1c1b9424fc89dec4f60c8806711a
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/
![MeterSphere 未授权访问漏洞 (CVE-2023-38494) [有POC]](https://zhi.oscs1024.com/wp-content/themes/justnews/themer/assets/images/lazy.png)