A GitLab lançou atualizações de segurança para corrigir duas vulnerabilidades críticas, incluindo uma que poderia ser explorada para assumir o controle de contas sem a necessidade de interação do usuário. Identificada como CVE-2023-7028, essa falha recebeu a pontuação máxima de 10.0 no sistema de pontuação CVSS e poderia facilitar a tomada de controle de contas ao enviar e-mails de redefinição de senha para um endereço de e-mail não verificado.

A vulnerabilidade é resultado de um bug no processo de verificação de e-mail, que permitia aos usuários redefinir sua senha por meio de um endereço de e-mail secundário. A GitLab corrigiu o problema nas versões 16.5.6, 16.6.4 e 16.7.2, além de retroceder a correção para as versões 16.1.6, 16.2.9, 16.3.7 e 16.4.5.

A empresa observou que o bug foi introduzido na versão 16.1.0 em 1º de maio de 2023. “Dentro destas versões, todos os mecanismos de autenticação são impactados”, disse a GitLab. “Além disso, usuários que ativaram a autenticação de dois fatores são vulneráveis à redefinição de senha, mas não à tomada de controle da conta, pois seu segundo fator de autenticação é necessário para fazer login.” Para mitigar quaisquer ameaças potenciais, é aconselhável atualizar as instâncias para uma versão corrigida o mais rápido possível e ativar a autenticação de dois fatores, especialmente para usuários com privilégios elevados.