长亭百川云

长亭百川云

技术讨论长亭漏洞情报库 IP 威胁情报 SLA 在线工具

热门产品

雷池 WAF 社区版

IP 威胁情报

网站安全监测

百川漏扫服务

百川云

长亭漏洞情报库

安全社区

CT STACK 安全社区

雷池社区版

XRAY 扫描工具

长亭科技

长亭科技官网

万众合作伙伴商城

长亭 BBS 论坛

关注或联系我们

添加百川云公众号，移动管理云安全产品

咨询热线：

4000-327-707

百川公众号

百川公众号

百川云客服

百川云客服

Copyright ©2024 北京长亭科技有限公司

京ICP备2024055124号-2

GitLab任意用户密码重置漏洞-长亭百川云平台

严重

GitLab任意用户密码重置漏洞

披露时间：

2024-01-12

更新时间：

2025-07-24

CT 编号

CT-1040506

CVE 编号

CVE-2023-7028

CNVD 编号

N/A

CNNVD 编号

CNNVD-202401-1171

原理分类

逻辑漏洞

漏洞评分

9.8

漏洞描述

GitLab是美国GitLab公司的一个开源的端到端软件开发平台，具有内置的版本控制、问题跟踪、代码审查、CI/CD（持续集成和持续交付）等功能。 GitLab 存在安全漏洞，该漏洞源于用户帐户密码重置电子邮件可能会发送到未经验证的电子邮件地址。

修复方法

官方已发布安全修复版本，建议受影响的用户升级至16.7.2, 16.6.4, 16.5.6或之后的版本
参考链接：https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions

参考链接

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions

https://gitlab.com/gitlab-org/gitlab/-/issues/436084

https://hackerone.com/reports/2293343

https://www.vicarius.io/vsociety/posts/critical-gitlab-account-takeover-vulnerability-cve-2023-7028

评分维度

长亭安全产品覆盖情况

雷池（SafeLine）下一代Web应用防火墙

洞鉴（X-Ray）安全评估系统

云图（Cloud Atlas）攻击面管理运营平台

牧云（CloudWalker）主机安全管理平台

全悉（T-ANSWER）高级威胁分析预警系统

谛听（D-Sensor）伪装欺骗系统

漏洞时间线

补丁发布
2024-01-11
EXP 披露
2024-01-11
漏洞披露
2024-01-12
漏洞信息更新
2025-07-24