Gipatik sa GitLab ang sunod nga serye sa corrective updates sa plataporma niini alang sa pag-organisar sa collaborative development - 15.3.2, 15.2.4 ug 15.1.6, nga nagwagtang sa usa ka kritikal nga kahuyang (CVE-2022-2992) nga nagtugot sa usa ka authenticated user sa layo nga pagpatuman sa code sa server. Sama sa pagkahuyang sa CVE-2022-2884, nga giayo usa ka semana ang milabay, usa ka bag-ong problema ang naa sa API alang sa pag-import sa datos gikan sa serbisyo sa GitHub. Ang kahuyang makita usab sa mga pagpagawas sa 15.3.1, 15.2.3 ug 15.1.5, nga nag-ayo sa unang kahuyang sa import code gikan sa GitHub.
Ang mga detalye sa operasyon wala pa gihatag. Ang impormasyon mahitungod sa kahuyang gisumite ngadto sa GitLab isip kabahin sa programa sa vulnerability bounty sa HackerOne, apan dili sama sa miaging problema, giila kini sa laing partisipante. Isip usa ka workaround, girekomenda nga ang tagdumala dili pagana ang import function gikan sa GitHub (sa GitLab web interface: "Menu" -> "Admin" -> "Settings" -> "General" -> "Visibility and access controls" - > "Pag-import sa mga tinubdan" -> pag-disable sa "GitHub").
Dugang pa, ang gisugyot nga mga pag-update nag-ayo sa 14 pa nga mga kahuyangan, duha niini gimarkahan nga peligro, napulo ang gi-assign sa usa ka medium nga lebel sa peligro, ug duha ang gimarkahan nga dili maayo. Ang mosunod giila nga delikado: vulnerability CVE-2022-2865, nga nagtugot kanimo sa pagdugang sa imong kaugalingon nga JavaScript code sa mga panid nga gipakita sa ubang mga tiggamit pinaagi sa pagmaniobra sa mga label sa kolor, ingon man ang pagkahuyang nga CVE-2022-2527, nga nagpaposible sa ilisan ang imong sulod pinaagi sa natad sa paghulagway sa sukod sa mga insidente sa Timeline). Ang kasarangang kabug-at nga mga kahuyangan nag-una nga may kalabutan sa posibilidad sa pagdumili sa serbisyo.
Source: opennet.ru