GitLab ประกาศออกแพตช์แก้ไขช่องโหว่ CVE-2023-7028 ช่องโหว่ร้ายแรงระดับวิกฤติที่เปิดทางให้คนร้ายสามารถยึดบัญชีของเหยื่อได้ทันที เพราะคนร้ายสามารถสั่งให้ส่งอีเมลรีเซ็ตรหัสผ่านไปยังอีเมลของคนร้ายได้

ช่องโหว่นี้สามารถป้องกันได้ด้วยการเปิดการล็อกอินสองขั้นตอนเอาไว้ อย่างไรก็ดีแพตช์ชุดใหม่นี้ยังมีการแก้ไขช่องโหว่อื่นๆ ด้วย

ทาง GitLab แนะนำให้องค์กรที่ติดตั้ง GitLab รุ่นที่ได้รับรีบอัพเดตแพตช์, เปิดการล็อกอินสองขั้นตอน, และเปลี่ยน secret ทั้งหมด ได้แก่ รหัสผ่านต่างๆ, API token, ใบรับรอง, ตลอดจน secret อื่นๆ

ช่องโหว่นี้กระทบ GitLab ตั้งแต่ 16.1 จนถึง 16.7 ตอนนี้ทางโครงการก็ออกเวอร์ชั่นแพตช์ช่องโหว่ออกมาทั้งหมดแล้ว

ที่มา - GitLab