Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Ernstige kwetsbaarheid in GitLab software

Z-CERT heeft op 15 januari 2024 een Operationele Alert (de hoogste waarschuwing) verstuurd naar aangesloten zorginstellingen vanwege ontwikkelingen rondom de kwetsbaarheid in GitLab Enterprise Edition en Community Edition.

Er is publieke Proof-of-Concept code gepubliceerd en het NCSC heeft signalen ontvangen dat er al misbruik wordt gemaakt van de kwetsbaarheid.

De kwetsbaarheid met kenmerk CVE-2023-7028 is ingeschaald met een CVSS-score van 10. Dankzij de kwetsbaarheid is een kwaadwillende in staat om een account over te nemen. Hij hoeft hiervoor alleen maar een password-reset te versturen naar een e-mailadres naar keuze.

Wanneer multifactorauthenticatie actief is, kan de kwetsbaarheid weliswaar worden misbruikt, maar is het overnemen van een account niet mogelijk omdat de kwaadwillende niet kan inloggen.

Indien de authenticatie wordt afgehandeld door een derde partij (een identity provider zoals Okta, Azure AD, Google) èn wachtwoordauthenticatie in GitLab expliciet uitgeschakeld is, kan deze kwetsbaarheid niet worden misbruikt.

GitLab heeft updates uitgebracht om de kwetsbaarheid te verhelpen in GitLab EE en CE 16.1.6,16.2.9,16.3.7,16.5.6, 16.6.4 en 16.7.2. Voor meer informatie, zie:

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/