exploitDog

CVE-2023-7028

Опубликовано: 12 янв. 2024

Источник: nvd

CVSS3: 10

CVSS3: 9.8

EPSS Критический

Описание

An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4 prior to 16.4.5, 16.5 prior to 16.5.6, 16.6 prior to 16.6.4, and 16.7 prior to 16.7.2 in which user account password reset emails could be delivered to an unverified email address.

Ссылки

https://gitlab.com/gitlab-org/gitlab/-/issues/436084
Exploit
Issue Tracking
Vendor Advisory
https://hackerone.com/reports/2293343
Permissions Required
https://gitlab.com/gitlab-org/gitlab/-/issues/436084
Exploit
Issue Tracking
Vendor Advisory
https://hackerone.com/reports/2293343
Permissions Required
https://www.vicarius.io/vsociety/posts/critical-gitlab-account-takeover-vulnerability-cve-2023-7028
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 16.1.0 (включая) до 16.1.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.1.0 (включая) до 16.1.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 16.2.0 (включая) до 16.2.9 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.2.0 (включая) до 16.2.9 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 16.3.0 (включая) до 16.3.7 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.3.0 (включая) до 16.3.7 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 16.4.0 (включая) до 16.4.5 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.4.0 (включая) до 16.4.5 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 16.5.0 (включая) до 16.5.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.5.0 (включая) до 16.5.6 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 16.6.0 (включая) до 16.6.4 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.6.0 (включая) до 16.6.4 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*

Версия от 16.7.0 (включая) до 16.7.2 (исключая)

cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*

Версия от 16.7.0 (включая) до 16.7.2 (исключая)

EPSS

Процентиль: 100%

0.94004

Критический

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-640

CWE-640

Связанные уязвимости

CVE-2023-7028

CVSS3: 10

ubuntu

больше 1 года назад

An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4 prior to 16.4.5, 16.5 prior to 16.5.6, 16.6 prior to 16.6.4, and 16.7 prior to 16.7.2 in which user account password reset emails could be delivered to an unverified email address.

CVE-2023-7028

CVSS3: 10

debian

больше 1 года назад

An issue has been discovered in GitLab CE/EE affecting all versions fr ...

GHSA-mgg5-84cv-fc3c

CVSS3: 10

github

больше 1 года назад

An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4 prior to 16.4.5, 16.5 prior to 16.5.6, 16.6 prior to 16.6.4, and 16.7 prior to 16.7.2 in which user account password reset emails could be delivered to an unverified email address.

BDU:2024-00259

CVSS3: 10

fstec

больше 1 года назад

Уязвимость программной платформы на базе git для совместной работы над кодом GitLab, вызванная возможностью отправки письма с кодом для сброса пароля на неподтверждённые email-адреса, позволяющая нарушителю получить несанкционированный доступ к учётной записи произвольного пользователя

EPSS

Процентиль: 100%

0.94004

Критический

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-640

CWE-640

Уязвимость CVE-2023-7028