Ang corrective updates sa collaborative development platform GitLab 14.7.7, 14.8.5 ug 14.9.2 nagwagtang sa usa ka kritikal nga kahuyang (CVE-2022-1162) nga nalangkit sa pag-set sa hardcoded nga mga password alang sa mga account nga narehistro gamit ang OmniAuth (OAuth) provider , LDAP ug SAML) . Ang pagkahuyang mahimo’g gitugotan ang usa ka tig-atake nga maka-access sa account. Gitambagan ang tanan nga tiggamit nga i-install dayon ang update. Ang mga detalye sa problema wala pa gibutyag. Ang mga tiggamit kansang mga account naapektuhan sa isyu giaghat sa pag-reset sa ilang mga password. Ang problema giila sa mga empleyado sa GitLab ug ang imbestigasyon wala magpadayag sa bisan unsang mga timailhan sa pagkompromiso sa tiggamit.
Giwagtang usab sa bag-ong mga bersyon ang 16 pa nga mga kahuyangan, diin ang 2 gimarkahan nga peligro, 9 ang kasarangan ug 5 ang dili peligro. Ang makuyaw nga mga isyu naglakip sa posibilidad sa HTML injection (XSS) sa mga komento (CVE-2022-1175) ug mga komento/deskripsyon sa isyu (CVE-2022-1190).
Source: opennet.ru