GitLab je objavio sljedeću seriju korektivnih ažuriranja svoje platforme za organiziranje zajedničkog razvoja - 15.3.2, 15.2.4 i 15.1.6, koji eliminišu kritičnu ranjivost (CVE-2022-2992) koja omogućava autentificiranom korisniku da daljinski izvršava kod na serveru. Kao i CVE-2022-2884 ranjivost, koja je otklonjena prije nedelju dana, novi problem je prisutan u API-ju za uvoz podataka sa GitHub servisa. Ranjivost se takođe pojavljuje u izdanjima 15.3.1, 15.2.3 i 15.1.5, koja su popravila prvu ranjivost u kodu za uvoz sa GitHub-a.
Operativni detalji još nisu dati. Informacije o ranjivosti su dostavljene GitLabu kao dio HackerOne-ovog programa za nagrađivanje ranjivosti, ali za razliku od prethodnog problema, identificirao ga je drugi učesnik. Kao zaobilazno rešenje, preporučuje se da administrator onemogući funkciju uvoza sa GitHub-a (u GitLab web interfejsu: “Meni” -> “Admin” -> “Settings” -> “General” -> “Vidljivost i kontrola pristupa” - > “Uvezi izvore” -> onemogući “GitHub”).
Osim toga, predložena ažuriranja popravljaju još 14 ranjivosti, od kojih su dvije označene kao opasne, deset imaju srednji nivo opasnosti, a dvije su označene kao benigne. Sljedeće se prepoznaje kao opasno: ranjivost CVE-2022-2865, koja vam omogućava da dodate svoj JavaScript kod na stranice koje se prikazuju drugim korisnicima kroz manipulaciju oznakama boja, kao i ranjivost CVE-2022-2527, koja omogućava zamijenite svoj sadržaj kroz polje za opis na vremenskoj liniji skale incidenata). Umjerene ranjivosti prvenstveno se odnose na mogućnost uskraćivanja usluge.
izvor: opennet.ru