Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Тысячи аккаунтов GitLab под угрозой: новая критическая уязвимость позволяет похищать аккаунты жертв (http://txgate.io:443/showthread.php?t=12235)

Artifact 01-16-2025 03:01 AM

Компания устранила эту и еще семь менее значительных уязвимостей.
https://www.securitylab.ru/upload/ib...4a2a66dd2e.jpg
GitLab устранила критическую уязвимость в GitLab Enterprise Edition. Уязвимость, отслеживаемая как CVE-2022-1680 (оценка CVSS 9.9), может быть использована злоумышленниками для кражи учетной записи жертвы.
Уязвимость затрагивает следующие версии GitLab:<ul><li>11.10 – 14.9.5</li>
</ul><ul><li>14.10 – 14.10.4</li>
</ul><ul><li>15.0 – 15.0.1</li>
</ul>В своем сообщении компания объяснила причину уязвимости. Она кроется в функции SCIM (доступной только в Premium+ подписке), которая при настроенном SAML SSO позволяет владельцу Premium-группы приглашать случайных пользователей, используя их никнеймы или электронную почту. Пригласив жертв, злоумышленник может изменить их электронные адреса на свои и при отсутствии двухфакторной аутентификации украсть учетные записи. В качестве “бонуса” хакер имеет возможность менять отображаемое имя пользователя и имя учетной записи жертвы.
CVE-2022-1680 была обнаружена одним из членов команды GitLab.
В обновлении компания также устранила семь других уязвимостей разной степени опасности:<ul><li>Кража учетной записи с помощью изменения электронной почты через SCIM;</li>
</ul><ul><li>XSS-уязвимость в интеграции Jira;</li>
</ul><ul><li>Команды быстрого действия уязвимы к XSS;</li>
</ul><ul><li>Обход списка разрешенных IP-адресов с использование маркеров-триггеров;</li>
</ul><ul><li>Обход списка разрешенных IP-адресов с использованием токенов запуска проекта;</li>
</ul><ul><li>Неправильная авторизация в интерактивном веб-терминале;</li>
</ul><ul><li>Возможность у членов подгруппы составлять список членов родительской группы;</li>
</ul><ul><li>Обход блокировки членов группы.</li>
</ul>Компания настоятельно рекомендует пользователям как можно GitLab Enterprise Edition до последней версии.
Напомним, ранее в GitLab обнаружили другую уязвимость , позволявшую похищать учетные записи жертв. Виной всему были статические пароли, случайно установленные во время регистрации на основе OmniAuth в GitLab CE/EE.


All times are GMT. The time now is 07:09 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.