De kwetsbaarheid met kenmerk CVE-2023-7028 is ingeschaald met een CVSS-score van 10. Dankzij de kwetsbaarheid is een kwaadwillende in staat om een account over te nemen. Hij hoeft hiervoor alleen maar een password-reset te versturen naar een e-mailadres naar keuze.
Wanneer multifactorauthenticatie actief is, kan de kwetsbaarheid weliswaar worden misbruikt, maar is het overnemen van een account niet mogelijk omdat de kwaadwillende niet kan inloggen.
Indien de authenticatie wordt afgehandeld door een derde partij (een identity provider zoals Okta, Azure AD, Google) èn wachtwoordauthenticatie in GitLab expliciet uitgeschakeld is, kan deze kwetsbaarheid niet worden misbruikt.
GitLab heeft updates uitgebracht om de kwetsbaarheid te verhelpen in GitLab EE en CE 16.1.6,16.2.9,16.3.7,16.5.6, 16.6.4 en 16.7.2. Voor meer informatie, zie:
https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/