CVE-2023-7028 | Attaxion

CISA Known Exploited Vulnerability (KEV)

Name

GitLab Community and Enterprise Editions Improper Access Control Vulnerability

Exploit added

May 1, 2024

Action due

May 22, 2024

Action required

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Description

An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4 prior to 16.4.5, 16.5 prior to 16.5.6, 16.6 prior to 16.6.4, and 16.7 prior to 16.7.2 in which user account password reset emails could be delivered to an unverified email address.

References

Weakness Enumeration

CWE-ID	CWE Name
CWE-284	Improper Access Control
CWE-640	Weak Password Recovery Mechanism for Forgotten Password

Known Affected Software Configurations

cpe:2.3:a:gitlab:gitlab:16.11.6::::community:::
cpe:2.3:a:gitlab:gitlab:17.1.1::::community:::
cpe:2.3:a:gitlab:gitlab:17.1.1::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.0.4::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.6::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.1.2::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.0.4::::community:::
cpe:2.3:a:gitlab:gitlab:17.1.2::::community:::
cpe:2.3:a:gitlab:gitlab:16.7.6::::community:::
cpe:2.3:a:gitlab:gitlab:16.9.6::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.6.4::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.10.6::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.1::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.4::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.7::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.5::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.7::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.10.0::::community:::
cpe:2.3:a:gitlab:gitlab:16.11.3::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.10.3::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.5::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.8.7::::community:::
cpe:2.3:a:gitlab:gitlab:16.11.1::::community:::
cpe:2.3:a:gitlab:gitlab:16.5.6::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.0.2::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.2::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.3::::community:::
cpe:2.3:a:gitlab:gitlab:16.9.4::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.7::::community:::
cpe:2.3:a:gitlab:gitlab:16.9.2::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.10.1::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.8.3::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.5::::community:::
cpe:2.3:a:gitlab:gitlab:16.9.4::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.0::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.8::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.4::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.5::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.1::::community:::
cpe:2.3:a:gitlab:gitlab:17.0.3::::community:::
cpe:2.3:a:gitlab:gitlab:16.11.2::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.2::::community:::
cpe:2.3:a:gitlab:gitlab:16.11.3::::community:::
cpe:2.3:a:gitlab:gitlab:16.8.6::::community:::
cpe:2.3:a:gitlab:gitlab:16.8.5::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.0.3::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.10.5::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.8.7::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.4::::community:::
cpe:2.3:a:gitlab:gitlab:17.0.2::::community:::
cpe:2.3:a:gitlab:gitlab:16.8.4::::community:::
cpe:2.3:a:gitlab:gitlab:16.6.5::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.6::::community:::
cpe:2.3:a:gitlab:gitlab:17.0.0::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.0.0::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.3::::community:::
cpe:2.3:a:gitlab:gitlab:17.0.1::::community:::
cpe:2.3:a:gitlab:gitlab:16.6.5::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.10.0::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.7.6::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.7::::community:::
cpe:2.3:a:gitlab:gitlab:16.9.3::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.1.0::::community:::
cpe:2.3:a:gitlab:gitlab:16.5.6::::community:::
cpe:2.3:a:gitlab:gitlab:16.9.2::::community:::
cpe:2.3:a:gitlab:gitlab:16.8.3::::enterprise:::
cpe:2.3:a:gitlab:gitlab:17.1.0::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.6.4::::community:::
cpe:2.3:a:gitlab:gitlab:16.7.7::::community:::
cpe:2.3:a:gitlab:gitlab:16.11.1::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.6::::community:::
cpe:2.3:a:gitlab:gitlab:16.7.3::::community:::
cpe:2.3:a:gitlab:gitlab:16.8.5::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.4::::community:::
cpe:2.3:a:gitlab:gitlab:16.10.2::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.7.2::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.5.7::::community:::
cpe:2.3:a:gitlab:gitlab:16.5.7::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.7.2::::community:::
cpe:2.3:a:gitlab:gitlab:16.9.1::::community:::
cpe:2.3:a:gitlab:gitlab:16.7.7::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.8.4::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.0::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.7.3::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.5::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.8.6::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.11.0::::community:::
cpe:2.3:a:gitlab:gitlab:17.0.1::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.8::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.9.0::::community:::
cpe:2.3:a:gitlab:gitlab:16.8.2::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.6.0::::community:::
cpe:2.3:a:gitlab:gitlab:15.5.3::::community:::
cpe:2.3:a:gitlab:gitlab:15.5.3::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.8.0::::community:::
cpe:2.3:a:gitlab:gitlab:16.8.0::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.7.1::::community:::
cpe:2.3:a:gitlab:gitlab:16.7.1::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.7.0::::enterprise:::
cpe:2.3:a:gitlab:gitlab:16.7.0::::community:::

Details

Source:
NVD

Published:
January 12, 2024

Updated:
July 24, 2024

Risk information

CVSS v3

Base score:
7.5

Severity:

HIGH

Vector:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVSS v2

Not defined