Уязвимости в GitLab, които позволяват отвличане на акаунти и изпълнение на команди от друг потребител

Публикувани са коригиращи актуализации на платформата за организиране на съвместна разработка - GitLab 16.7.2, 16.6.4 и 16.5.6, които коригират две критични уязвимости. Първата уязвимост (CVE-2023-7028), на която е присвоено максимално ниво на сериозност (10 от 10), ви позволява да изземете акаунта на някой друг чрез манипулиране на формата за възстановяване на забравена парола. Уязвимостта е причинена от възможността за изпращане на имейл с код за нулиране на парола до непроверени имейл адреси. Проблемът се появява след пускането на GitLab 16.1.0, който въведе възможност за изпращане на код за възстановяване на парола до непотвърден резервен имейл адрес.

За да се проверят фактите за компрометиране на системите, се предлага да се оцени в регистрационния файл gitlab-rails/production_json.log наличието на HTTP заявки към манипулатора на /users/password, посочващ масив от няколко имейла в „params.value.email ” параметър. Предлага се също така да се проверяват записи в журнала на gitlab-rails/audit_json.log със стойността PasswordsController#create в meta.caller.id и посочване на масив от няколко адреса в блока target_details. Атаката не може да бъде завършена, ако потребителят активира двуфакторно удостоверяване.

Втората уязвимост, CVE-2023-5356, присъства в кода за интеграция с услугите Slack и Mattermost и ви позволява да изпълнявате /-команди под друг потребител поради липсата на подходяща проверка за оторизация. На проблема е присвоено ниво на сериозност 9.6 от 10. Новите версии също елиминират по-малко опасна (7.6 от 10) уязвимост (CVE-2023-4812), която ви позволява да заобиколите одобрението на CODEOWNERS, като добавите промени към предварително одобрен заявка за сливане.

Подробна информация за идентифицираните уязвимости се планира да бъде разкрита 30 дни след публикуването на корекцията. Уязвимостите бяха изпратени на GitLab като част от програмата за награди за уязвимости на HackerOne.

Източник: opennet.ru