「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起

ソースコード管理ツール「GitLab」の脆弱性「CVE-2023-7028」が悪用されているとして、米当局が注意喚起を行った。容易に悪用でき、アカウントを乗っ取られるおそれがある。

サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が現地時間5月1日、「CVE-2023-7028」を「悪用が確認された脆弱性カタログ（KEV）」に登録したもの。前日にも「CVE-2024-29988」が登録されており、連日の追加となっている。

「CVE-2023-7028」は、パスワードリセット機能に関する脆弱性。「GitLab Community Editions」「同Enterprise Editions」の双方が影響を受ける。

脆弱性を悪用すると、未検証のメールアドレスにリセットメールを送信させ、第三者がパスワードを変更することが可能。2要素認証が設定されていない場合、容易にアカウントを乗っ取ることが可能となる。

同脆弱性は、現地時間1月11日にリリースされた「同16.7.2」「同16.6.4」「同16.5.6」で修正済み。セキュリティアップデートの公開後、同脆弱性の詳細や実証コードなどが複数のサイトで公開されており、セキュリティ機関などからも対策や侵害を受けていないか確認するよう注意が呼びかけられていた。

（Security NEXT - 2024/05/02 ） ツイート

PR

関連記事

「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
県サイト資料に非公開の個人情報、マスキング未処理 - 静岡県
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園
自治体委託イベントの申込フォームに不備 - 個人情報が閲覧可能に
サイバー攻撃被害が判明、内部情報へアクセスされた痕跡 - BBT
個人情報含む記憶媒体紛失、教諭2人を懲戒処分 - 北海道
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み
地理情報サーバ「GeoServer」の脆弱性悪用に注意喚起 - 米当局