今年1月11日,軟體開發平臺GitLab揭露與修補CVSS滿分10分的重大漏洞CVE-2023-7028,由於能在無需與使用者互動的狀態下,將重設密碼的電子郵件寄送至任何信箱,可能導致用戶帳號因此遭到非法接管,而且受到影響的版本不少,涵蓋GitLab社群版與企業版的16.1版至16.7.1版,引發軒然大波,當時該公司表示尚未偵測到任何濫用此漏洞的活動,但是,到了月底,Shadowserver基金會警告,根據他們的偵測,未修補這個漏洞且能透過網際網路存取的GitLab伺服器,數量高達5,379臺(臺灣有52臺)。
相隔3個多月之後(5月1日),美國網際安全暨基礎設施安全局(CISA)宣布將此漏洞加入已知遭濫用漏洞(KEV)型錄,並表示它成為惡意網路活動的常見攻擊手法,將對政府與企業造成嚴重風險,因此,CISA要求聯邦政府各單位需在5月22日之前,完成內部弱點管理的審視與更新作業。
根據Shadowserver基金會的偵測,全球暴露在此漏洞風險且位於網際網路的伺服器數量,已下降至2,149臺(臺灣有11臺)。
熱門新聞
2024-11-25
2024-11-25
2024-11-22
2024-11-24
2024-11-25
2024-11-25
Advertisement