L'aghjurnamenti currettivi à a piattaforma di sviluppu cullaburazione GitLab 14.8.2, 14.7.4 è 14.6.5 eliminanu una vulnerabilità critica (CVE-2022-0735) chì permette à un utilizatore micca autorizatu d'estrattà i tokens di registrazione in u GitLab Runner, chì hè utilizatu per chjamà i gestori. quandu custruisce codice di prughjettu in un sistema di integrazione cuntinuu. I dettagli ùn sò ancu furniti, solu chì u prublema hè causatu da a fuga di l'infurmazioni quandu si usanu cumandamenti Quick Actions.
U prublema hè stata identificata da u staffu di GitLab è affetta e versioni 12.10 à 14.6.5, 14.7 à 14.7.4, è 14.8 à 14.8.2. L'utilizatori chì mantenenu installazioni persunalizate di GitLab sò cunsigliati per installà l'aghjurnamentu o applicà u patch u più prestu pussibule. U prublema hè stata risolta restringendu l'accessu à i cumandamenti Quick Actions à solu l'utilizatori cù permessu di scrittura. Dopu avè installatu l'aghjurnamentu o i patch individuali "token-prefix", i tokens di registrazione in Runner creati prima per gruppi è prughjetti seranu resettati è rigenerati.
In più di a vulnerabilità critica, e novi versioni eliminanu ancu 6 vulnerabilità menu periculose chì ponu purtà à un utilizatore senza privilegiu chì aghjunghjenu altri utilizatori à i gruppi, misinformazione di l'utilizatori attraversu a manipulazione di u cuntenutu di Snippets, fuga di variabili ambientali per mezu di u metudu di spedizione di sendmail, determinazione di a prisenza di l'utilizatori attraversu l'API GraphQL, fuga di password quandu si riflette i repositori via SSH in modu pull, attaccu DoS attraversu u sistema di sottumissione di cumenti.
Source: opennet.ru