GitLab紧急响应行动：高效修复CVSS评分达满分的密码重置安全漏洞

GitLab 是一个用于仓库管理系统的开源项目，使用Git作为代码管理工具，日前GitLab为社区版（CE）及企业版（EE）推出 16.7.2、16.6.4 及 16.5.6 安全更新，重点修复了 CVSS 风险评分达到 10 分的密码重置漏洞 CVE-2023-7028。

据悉，该漏洞与身份验证有关，由于 GitLab 支持用户通过辅助电子邮件地址重置密码，而相关电子邮件验证过程中存在错误，用户重置账号密码时可以将电子邮件发送到未经验证的电子邮件地址，因此黑客能够使用未经验证的漏洞地址接管账号。

相关漏洞影响版本 16.1-16.7.1，GitLab 呼吁用户及时进行安全更新，并启用双重认证功能，以免账号遭到黑客盗用。

值得一提的是，本次更新还修复了另一项“授权检查不当漏洞”CVE-2023-5356，该漏洞影响 8.13 以上版本，CVSS 风险评分为 9.6，允许黑客滥用 Slack / Mattermost 集成，从而以其他用户的身份执行斜杠命令。

传闻代码协作平台GitLab探索出售可能性，当前估值锁定80亿美元

7月17日消息，据内部消息透露，知名的代码托管与协作平台GitLab正处于一项重大决策的考量之中——公司高层正在探讨潜在的出售事宜。这一消息引起了业界广泛的关注，尤其是在当前科技股波动频繁的市场环境下。

GitLab 于 2021 年在美股上市，现在的股价不到上市时的一半，仅 2024 年就下跌了 16%。

该公司表示其上年收入达到 1.692 亿美元（当前约 12.32 亿元人民币），同比增长 33%，并在最近一季度首次实现正现金流，但其与微软竞争时面临定价方面的阻力，微软在 2018 年以 75 亿美元（当前约 546.03 亿元人民币）收购了其竞争对手 GitHub。

知情人士透露，Datadog 公司有兴趣收购 GitLab，Datadog 是一家多业务的数据及应用监控公司，市值达 440 亿美元（当前约 3203.38 亿元人民币）。

根据 GitLab 国内官网介绍，许多知名企业均有使用该公司服务，包括中国联通、中国电信、英特尔、网易、理想、蔚来等。