GitLab zveřejnil další sérii opravných aktualizací své platformy pro kolaborativní vývoj – 15.3.2, 15.2.4 a 15.1.6, která opravuje kritickou chybu zabezpečení (CVE-2022-2992), která umožňuje ověřenému uživateli vzdáleně spouštět kód na server. Stejně jako chyba zabezpečení CVE-2022-2884, která byla opravena před týdnem, existuje nový problém v rozhraní API pro import dat ze služby GitHub. Zranitelnost se projevuje mimo jiné ve vydáních 15.3.1, 15.2.3 a 15.1.5, ve kterých byla opravena první zranitelnost v importním kódu z GitHubu.
Provozní podrobnosti zatím nebyly uvedeny. Chyba zabezpečení byla odeslána do GitLab jako součást programu odměny za zranitelnost HackerOne, ale na rozdíl od předchozího problému ji identifikoval jiný přispěvatel. Jako náhradní řešení se administrátorovi doporučuje zakázat import z funkce GitHub (ve webovém rozhraní GitLab: "Menu" -> "Admin" -> "Nastavení" -> "Obecné" -> "Ovládání viditelnosti a přístupu" -> "Importovat zdroje" -> deaktivovat "GitHub").
Kromě toho je v navrhovaných aktualizacích opraveno 14 dalších zranitelností, z nichž dvě jsou označeny jako nebezpečné, deseti je přiřazena střední úroveň závažnosti a dvě jsou označeny jako nenebezpečné. Následující jsou považovány za nebezpečné: zranitelnost CVE-2022-2865, která vám umožňuje přidávat vlastní kód JavaScript na stránky zobrazované ostatním uživatelům prostřednictvím manipulace s barevnými štítky, a také zranitelnost CVE-2022-2527, která je možné nahradit váš obsah pomocí pole popisu na časové ose měřítka incidentů). Středně závažná zranitelnost souvisí především s možností odmítnutí služby.
Zdroj: opennet.ru