Найти тему
3518 подписчиков

#news На GitLab вышли срочные обновления безопасности. Две критических уязвимости и три попроще. И одна из них, CVE-2023-7028, на 10 из 10 по CVSS. Более того, это zero-click. Баг в аутентификации позволяет злоумышленникам отправлять запросы на восстановление пароля на произвольные почтовые ящики. Лечится двухфакторкой, остальным соболезнуем. Случаев эксплойта, впрочем, пока не было.


Вторая крупная уязвимость, CVE-2023-5356, выбила 9.6 из 10. И связана с проблемами интеграции Slack и Mattermost, позволяющими произвольному пользователю выполнять slash-команды. В общем, тот случай, когда с патчами лучше не тянуть. Иначе следующими в новости пойдут атаки на цепочку поставок. Подробнее о свежем патче и затронутых версиях в бюллетене безопасности GitLab.

@tomhunter
#news На GitLab вышли срочные обновления безопасности. Две критических уязвимости и три попроще. И одна из них, CVE-2023-7028, на 10 из 10 по CVSS. Более того, это zero-click.
Около минуты