Втора критична уязвимост в GitLab за седмица

GitLab публикува следващата поредица от коригиращи актуализации на своята платформа за съвместна разработка - 15.3.2, 15.2.4 и 15.1.6, които поправят критична уязвимост (CVE-2022-2992), която позволява на удостоверен потребител да изпълнява дистанционно код на сървър. Подобно на уязвимостта CVE-2022-2884, която беше коригирана преди седмица, съществува нов проблем в API за импортиране на данни от услугата GitHub. Уязвимостта се проявява, наред с други неща, във версии 15.3.1, 15.2.3 и 15.1.5, в които беше коригирана първата уязвимост в кода за импортиране от GitHub.

Оперативните подробности все още не са дадени. Уязвимостта беше изпратена до GitLab като част от програмата за награди за уязвимости на HackerOne, но за разлика от предишния проблем, тя беше идентифицирана от друг участник. Като заобиколно решение администраторът се съветва да деактивира функцията за импортиране от GitHub (в уеб интерфейса на GitLab: "Меню" -> "Администратор" -> "Настройки" -> "Общи" -> "Видимост и контроли за достъп" -> „Импортиране на източници“ -> деактивиране на „GitHub“).

Освен това в предложените актуализации са коригирани още 14 уязвимости, две от които са маркирани като опасни, на десет е присвоено средно ниво на сериозност, а две са маркирани като неопасни. Следните са разпознати като опасни: уязвимостта CVE-2022-2865, която ви позволява да добавяте свой собствен JavaScript код към страници, показвани на други потребители чрез манипулиране на цветни етикети, както и уязвимостта CVE-2022-2527, която прави възможно е да замените вашето съдържание чрез полето за описание във времевата линия на скалата на инциденти). Уязвимостите със средна тежест са свързани главно с възможността за отказ на услуга.

Източник: opennet.ru