Post #7990

GitLab 任意用户密码重置漏洞（CVE-2023-7028） - CVE编号: CVE-2023-7028 - 危害定级: 严重 - 漏洞标签: - 披露日期: 2024-01-11 - 信息来源: https://avd.aliyun.com/detail?id=AVD-2023-7028 - 推送原因: 漏洞创建 漏洞描述 2024年1月11日，Gitlab官方披露CVE-2023-7028 GitLab 任意用户密码重置漏洞，官方评级严重。攻击者可利用忘记密码功能，构造恶意请求获取密码重置链接从而重置密码。官方已发布安全更新，建议升级至最新版本，若无法升级，建议利用安全组功能设置Gitlab仅对可信地址开放。 参考链接 1. https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/#account-takeover-via-password-reset-without-user-interactions