Уязвимост в GitLab, която ви позволява да поемете акаунти, оторизирани чрез OAuth, LDAP и SAML

Коригиращи актуализации на платформата за съвместна разработка GitLab 14.7.7, 14.8.5 и 14.9.2 премахват критична уязвимост (CVE-2022-1162), свързана със задаване на твърдо кодирани пароли за акаунти, регистрирани с помощта на доставчика OmniAuth (OAuth), LDAP и SAML) . Уязвимостта потенциално позволява на атакуващ да получи достъп до акаунта. Всички потребители се съветват да инсталират актуализацията незабавно. Подробности за проблема все още не са разкрити. Потребителите, чиито акаунти са били засегнати от проблема, са били подканени да нулират своите пароли. Проблемът беше идентифициран от служители на GitLab и разследването не разкри никакви следи от потребителски компромет.

Новите версии елиминират още 16 уязвимости, от които 2 са маркирани като опасни, 9 са умерени и 5 са ​​неопасни. Опасните проблеми включват възможността за инжектиране на HTML (XSS) в коментари (CVE-2022-1175) и коментари/описания в проблем (CVE-2022-1190).

Източник: opennet.ru