感謝網友 OC_Formula 的線索投遞！

1 月 16 日消息，GitLab 日前為社區版（CE）及企業版（EE）推出 16.7.2、16.6.4 及 16.5.6 安全更新，重點修復了 CVSS 風險評分達到 10 分的密碼重置漏洞 CVE-2023-7028。

據悉，該漏洞與身份驗證有關，由于 GitLab 支持用戶通過輔助電子郵件地址重置密碼，而相關電子郵件驗證過程中存在錯誤，用戶重置賬號密碼時可以將電子郵件發送到未經驗證的電子郵件地址，因此黑客能夠使用未經驗證的漏洞地址接管賬號。

注意到，相關漏洞影響版本 16.1-16.7.1，GitLab 呼吁用戶及時進行安全更新，并啟用雙重認證功能，以免賬號遭到黑客盜用。

值得一提的是，本次更新還修復了另一項“授權檢查不當漏洞”CVE-2023-5356，該漏洞影響 8.13 以上版本，CVSS 風險評分為 9.6，允許黑客濫用 Slack / Mattermost 集成，從而以其他用戶的身份執行斜杠命令。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯

總結

以上是生活随笔為你收集整理的可绕过邮件验证劫持账号，GitLab 紧急修复 CVSS 满分密码重置漏洞 CVE-2023-7028的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。