「GitLab」のアカウント乗っ取る脆弱性、悪用が発生 - 米当局が注意喚起

ソースコード管理ツール「GitLab」の脆弱性「CVE-2023-7028」が悪用されているとして、米当局が注意喚起を行った。容易に悪用でき、アカウントを乗っ取られるおそれがある。

サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）が現地時間5月1日、「CVE-2023-7028」を「悪用が確認された脆弱性カタログ（KEV）」に登録したもの。前日にも「CVE-2024-29988」が登録されており、連日の追加となっている。

「CVE-2023-7028」は、パスワードリセット機能に関する脆弱性。「GitLab Community Editions」「同Enterprise Editions」の双方が影響を受ける。

脆弱性を悪用すると、未検証のメールアドレスにリセットメールを送信させ、第三者がパスワードを変更することが可能。2要素認証が設定されていない場合、容易にアカウントを乗っ取ることが可能となる。

同脆弱性は、現地時間1月11日にリリースされた「同16.7.2」「同16.6.4」「同16.5.6」で修正済み。セキュリティアップデートの公開後、同脆弱性の詳細や実証コードなどが複数のサイトで公開されており、セキュリティ機関などからも対策や侵害を受けていないか確認するよう注意が呼びかけられていた。

（Security NEXT - 2024/05/02 ） ツイート

PR

関連記事

廃棄物収集運搬の複数許可業者に個人情報を誤送信 - 名古屋市
委託先で個人情報含む書類を紛失、第三者の拾得で判明 - 川崎市
約2000人分の公金納付書が所在不明、誤廃棄の可能性 - 三井住友銀
富士通製パソコンの同梱認証ソフトに脆弱性 - 修正版が公開
「n8n」に深刻なRCE脆弱性 - 2025年11月の更新で修正済み
分散ストレージ「RustFS」に認証回避の深刻な脆弱性
データ圧縮ライブラリ「zlib」に含まれる「untgz」に深刻な脆弱性
教務支援システムでランサム被害、情報流出など調査 - 沖縄県立看護大
「Trend Micro Apex Central」にクリティカル脆弱性 - アップデートを公開
「Apache Uniffle」に脆弱性 - 中間者攻撃のおそれ