Account-Hijacking-Angriff

GitLab hat ein Sicherheitsupdate veröffentlicht, das zwei kritische Sicherheitslücken behebt. Eine davon (CVE-2023-7028) ermöglicht es einem Angreifer, einen Fehler im Mailbox-Authentifizierungsprozess auszunutzen, um ein Benutzerkonto zu kapern, indem er eine E-Mail zum Zurücksetzen des Passworts an eine nicht authentifizierte Mailbox sendet. Die Schwachstelle betrifft mehrere Versionen der GitLab Community Edition (CE) und der Enterprise Edition (EE). GitLab hat einen Fix veröffentlicht und empfiehlt den Benutzern, so bald wie möglich auf die korrigierte Version zu aktualisieren und die doppelte Authentifizierung für zusätzliche Sicherheit zu aktivieren.