نشرت GitLab السلسلة التالية من التحديثات التصحيحية لمنصتها لتنظيم التطوير التعاوني - 15.3.2 و15.2.4 و15.1.6، والتي تقضي على ثغرة أمنية خطيرة (CVE-2022-2992) تسمح للمستخدم المعتمد بتنفيذ التعليمات البرمجية عن بعد على الخادم. مثل ثغرة CVE-2022-2884، التي تم إصلاحها قبل أسبوع، توجد مشكلة جديدة في واجهة برمجة التطبيقات (API) لاستيراد البيانات من خدمة GitHub. تظهر الثغرة الأمنية أيضًا في الإصدارات 15.3.1 و15.2.3 و15.1.5، والتي أصلحت الثغرة الأمنية الأولى في كود الاستيراد من GitHub.
ولم يتم تقديم التفاصيل التشغيلية بعد. تم إرسال معلومات حول الثغرة الأمنية إلى GitLab كجزء من برنامج مكافآت الثغرات الأمنية الخاص بـ HackerOne، ولكن على عكس المشكلة السابقة، تم التعرف عليها من قبل مشارك آخر. كحل بديل، يوصى بأن يقوم المسؤول بتعطيل وظيفة الاستيراد من GitHub (في واجهة ويب GitLab: "القائمة" -> "المسؤول" -> "الإعدادات" -> "عام" -> "عناصر التحكم في الرؤية والوصول" - > "استيراد المصادر" -> تعطيل "GitHub").
بالإضافة إلى ذلك، تعمل التحديثات المقترحة على إصلاح 14 نقطة ضعف أخرى، اثنتان منها تم تصنيفهما على أنهما خطيرتان، وعشرة تم تصنيفها بمستوى متوسط من الخطر، واثنتان تم تصنيفهما على أنهما حميدتين. تم التعرف على ما يلي على أنه خطير: الثغرة الأمنية CVE-2022-2865، التي تسمح لك بإضافة كود JavaScript الخاص بك إلى الصفحات المعروضة للمستخدمين الآخرين من خلال التلاعب في ملصقات الألوان، بالإضافة إلى الثغرة الأمنية CVE-2022-2527، التي تجعل من الممكن استبدل المحتوى الخاص بك من خلال حقل الوصف في الجدول الزمني لمقياس الحوادث). ترتبط نقاط الضعف متوسطة الخطورة في المقام الأول بإمكانية رفض الخدمة.
المصدر: opennet.ru