A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma vulnerabilidade de controle de acesso inadequado nas Edições Community e Enterprise do GitLab ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV).

O problema, identificado como CVE-2023-7028 (pontuação CVSS: 10.0), permite a apropriação de contas por meio do reset de senha, podendo ser explorado para se apossar de uma conta sem qualquer interação. A vulnerabilidade afeta várias versões do GitLab CE/EE, desde a 16.1 até a 16.7.2, onde e-mails de reset de senha podem ser enviados para um endereço de e-mail não verificado.

O GitLab já corrigiu essa falha com os lançamentos 16.7.2, 16.5.6 e 16.6.4, além de ter retroportado patches de segurança para versões anteriores. Clientes que gerenciam sua própria infraestrutura são aconselhados a revisar seus registros em busca de possíveis tentativas de exploração dessa vulnerabilidade.

Pesquisadores do ShadowServer ainda relatam milhares de instâncias expostas online que são vulneráveis a essa falha, a maioria nos EUA, Alemanha e Rússia. Especialistas também recomendam que organizações privadas revisem o Catálogo e abordem as vulnerabilidades em sua infraestrutura para proteger seus sistemas contra potenciais ataques cibernéticos.