Đầu tiên là lỗ hổng CVE-2023-7028. Lỗ hổng này đã được đánh giá ở mức độ rủi ro nghiêm trọng với điểm CVSS đạt tối đa là 10/10, có thể tạo điều kiện cho kẻ tấn công chiếm đoạt tài khoản bằng cách gửi email đặt lại (reset) mật khẩu đến một địa chỉ email chưa được xác minh.
Lỗ hổng này bắt nguồn từ một lỗi trong quá trình xác minh email cho phép người dùng đặt lại mật khẩu của họ thông qua địa chỉ email phụ. Nó ảnh hưởng đến tất cả các phiên bản tự quản lý của GitLab Community Edition (CE) và Enterprise Edition (EE) đang sử dụng các phiên bản: 16.1 trước 16.1.6; 16.2 trước 16.2.9; 16.3 trước 16.3.7; 16.4 trước 16.4.5; 16.5 trước 16.5.6; 16.6 trước 16.6.4; 16.7 trước 16.7.2.
GitLab cho biết họ đã giải quyết vấn đề này trong các phiên bản GitLab 16.5.6, 16.6.4 và 16.7.2, cũng như triển khai bản vá cho các phiên bản 16.1.6, 16.2.9, 16.3.7 và 16.4.5. Công ty này lưu ý thêm rằng lỗ hổng này xuất hiện trong phiên bản 16.1.0 vào ngày 1/5/2023.
GitLab cho biết: “Trong các phiên bản này, tất cả các cơ chế xác thực đều bị ảnh hưởng. Ngoài ra, người dùng đã bật xác thực hai yếu tố dễ bị đặt lại mật khẩu nhưng không thể chiếm đoạt tài khoản vì yếu tố xác thực thứ hai là bắt buộc để đăng nhập".
GitLab cũng tiến hành cập nhật bản vá cho một lỗ hổng nghiêm trọng khác là CVE-2023-5356, điểm CVSS 9.6/10. Lỗ hổng này cho phép người dùng lạm dụng tích hợp Slack/Mattermost để thực thi các slash command với tư cách một người dùng khác.
Theo khuyến cáo của Gitlab, để giảm thiểu mọi mối đe dọa tiềm ẩn, người dùng cần khẩn trương nâng cấp lên phiên bản mới nhất và bật xác thực hai yếu tố, đặc biệt đối với người dùng đặc quyền (elevated privileges).
Bá Phúc
(thehackernews.com)
09:00 | 05/06/2023
15:00 | 19/01/2024
08:00 | 06/02/2024
17:00 | 17/11/2021
13:00 | 26/02/2024
15:00 | 29/08/2022
13:00 | 12/06/2024
10:00 | 31/12/2024
Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.
12:00 | 23/12/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa cảnh báo về hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Windows Kernel và Adobe ColdFusion, với mã định danh là CVE-2024-35250 và CVE-2024-20767.
11:00 | 05/12/2024
Ngày 26/11, Tập đoàn viễn thông Huawei của Trung Quốc đã ra mắt chiếc điện thoại thông minh đầu tiên được trang bị hệ điều hành hoàn toàn do hãng tự phát triển. Đây là một bước thử nghiệm quan trọng trong cuộc đua giành thị phần với những “gã khổng lồ” công nghệ của phương Tây.
10:00 | 28/11/2024
Sau thời gian thử nghiệm dành riêng cho người dùng trả phí, OpenAI chính thức cung cấp ChatGPT Search miễn phí cho tất cả người dùng.
Một lỗ hổng vừa được phát hiện trong Nuclei của ProjectDiscovery, một công cụ quét lỗ hổng nhanh, hiệu quả và có khả năng mở rộng. Nếu khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công bỏ qua các lần kiểm tra chữ ký và thực thi mã độc.
13:00 | 13/01/2025