Уязвимость 0-click в GitLab грозит захватом аккаунта

Вышедшие на прошлой неделе обновления GitLab 16.7.2, 16.6.4 и 16.5.6 устраняют пять уязвимостей, в том числе две критические. Одна из них, оцененная в 10 баллов CVSS, позволяет изменить пароль к аккаунту, не требуя никаких действий от его владельца.

Данная уязвимость (CVE-2023-7028) была привнесена в минувшем мае с выпуском сборки 16.1.0, предоставившей возможность использования вторичного почтового адреса для сброса пароля. Как оказалось, верификация имейл была реализована некорректно, что облегчило подмену.

Проблема перекочевала во все последующие выпуски GitLab CE и EE и грозит захватом аккаунта тем, кто не использует двухфакторную аутентификацию (2FA). Патч включен в состав обновлений 16.7.2, 16.6.4, 16.5.6, а также ввиду серьезности угрозы бэкпортирован в виде сборок 16.1.6, 16.2.9, 16.3.7 и 16.4.5.

Данных об использовании CVE-2023-7028 в атаках, пока нет, хотя PoC-код уже опубликован. Пользователям рекомендуется как можно скорее обновить свои экземпляры GitLab и включить 2FA хотя бы для админ-аккаунтов, а лучше для всех. Версия, используемая GitLab.com, уже пропатчена.

Выпуски 16.7.2, 16.6.4 и 16.5.6 также содержат заплатки для следующих уязвимостей:

• CVE-2023-5356 (9,6 балла CVSS) — некорректная проверка авторизации, позволяющая выполнять слеш-команды от имени другого пользователя из рабочих сред Slack и Mattermost;
• CVE-2023-4812 (7,6 балла) — возможность обхода правил владельцев кода (CODEOWNERS) путем изменения ранее одобренного запроса о слиянии;
• CVE-2023-6955 (6,6 балла) — возможность создания рабочего пространства, ассоциированного с агентом другой группы;
• CVE-2023-2030 (3,5 балла) — возможность подмены метаданных подписанных коммитов.