漏洞：GitLab任意用户密码重置漏洞

漏洞编号：CVE-2023-7028

威胁程度：严重

影响范围：

16.1.0 ≤ 版本 < 16.1.6

16.2.0 ≤ 版本 < 16.2.9

16.3.0 ≤ 版本 < 16.3.7

16.4.0 ≤ 版本 < 16.4.5

16.5.0 ≤ 版本 < 16.5.6

16.6.0 ≤ 版本 < 16.6.4

16.7.0 ≤ 版本 < 16.7.2

漏洞描述：

在GitLab发布的16.1.0（2023年5月1日）版本中引入新功能，允许用户通过电子邮件地址重置密码。该漏洞是由电子邮件验证过程中的错误造成的，用户密码重置电子邮件可能会发送到未经验证的电子邮件地址。

修复建议：

建议尽快访问官网获取版本升级安装包，升级 Gitlab 至安全版本及其以上。

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/

相关链接：

https://about.gitlab.com/releases/2024/01/11/critical-security-release-gitlab-16-7-2-released/