Атака на перехват учетной записи

Компания GitLab выпустила обновление безопасности, устраняющее две критические уязвимости, одна из которых (CVE-2023-7028) позволяет злоумышленнику использовать недостаток в процессе аутентификации почтового ящика для захвата учетной записи пользователя путем отправки письма со сбросом пароля на неаутентифицированный почтовый ящик. Уязвимость затрагивает несколько версий GitLab Community Edition (CE) и Enterprise Edition (EE). GitLab выпустила исправление и рекомендует пользователям как можно скорее обновиться до исправленной версии и включить двойную аутентификацию для дополнительной безопасности.