GitLabは、次のような非常に重大な脆弱性を発見して修正しました。 アカウントの乗っ取り.
CVE-2022-1680として追跡され、評価された 9.9 から 10 CVSSスケールで, この欠陥は、GitLabEnterpriseEditionのすべてのバージョンに影響します。 11.10 前 14.9.5, から始まるすべてのバージョン 14.10 前 14.10.4, から始まるすべてのバージョン 15.0 前 15.0.1. この問題は、チームのメンバーによって内部的に発見されました.
CVE-2022-1680: GitLabの脆弱性
GitLabEnterpriseEditionのアカウント乗っ取りの脆弱性をどのように悪用できますか?
によると 公式アドバイザリー, 「グループSAMLSSOが設定されている場合, SCIM機能 (Premium+サブスクリプションでのみ利用可能) プレミアムグループの所有者は、ユーザー名と電子メールを介して任意のユーザーを招待できる場合があります, 次に、それらのユーザーを変更します’ SCIMを介して攻撃者が制御する電子メールアドレスへの電子メールアドレス – 2FAがない場合 – それらのアカウントを引き継ぎます。」
攻撃者は、標的となるアカウントの表示名とユーザー名を変更することもできます.
「自己管理管理者は、確認することでgroup_samlが有効になっているかどうかを確認できます。 “自己管理型GitLabインスタンスでのグループSAMLの構成,” 会社は付け加えた.
Gitlabはバージョンで他の7つのセキュリティ問題を修正しました 15.0.1, 14.10.4, と 14.9.5 そのソフトウェアの, そのうちの2つは重大度が高いと評価されています, 4つは中程度と評価されています, と1つ – 低い.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: