Mae GitLab wedi cyhoeddi'r gyfres nesaf o ddiweddariadau cywirol i'w lwyfan ar gyfer trefnu datblygiad cydweithredol - 15.3.2, 15.2.4 a 15.1.6, sy'n dileu bregusrwydd critigol (CVE-2022-2992) sy'n caniatáu i ddefnyddiwr dilys weithredu cod o bell ar y gweinydd. Fel y bregusrwydd CVE-2022-2884, a gafodd ei osod wythnos yn ôl, mae problem newydd yn bresennol yn yr API ar gyfer mewnforio data o'r gwasanaeth GitHub. Mae'r bregusrwydd hefyd yn ymddangos mewn datganiadau 15.3.1, 15.2.3 a 15.1.5, a sefydlogodd y bregusrwydd cyntaf yn y cod mewnforio o GitHub.
Nid yw manylion gweithredol wedi'u darparu eto. Cyflwynwyd gwybodaeth am y bregusrwydd i GitLab fel rhan o raglen bounty bregusrwydd HackerOne, ond yn wahanol i'r broblem flaenorol, fe'i nodwyd gan gyfranogwr arall. Fel ateb, argymhellir bod y gweinyddwr yn analluogi'r swyddogaeth fewnforio o GitHub (yn y rhyngwyneb gwe GitLab: “Dewislen” -> “Gweinyddol” -> “Gosodiadau” -> “Cyffredinol” -> “Rheolaethau gwelededd a mynediad” - > “Mewnforio ffynonellau” -> analluogi "GitHub").
Yn ogystal, mae'r diweddariadau arfaethedig yn trwsio 14 o wendidau eraill, dau ohonynt wedi'u nodi'n beryglus, mae deg yn cael lefel ganolig o berygl, ac mae dau wedi'u marcio'n ddiniwed. Cydnabyddir bod y canlynol yn beryglus: bregusrwydd CVE-2022-2865, sy'n eich galluogi i ychwanegu eich cod JavaScript eich hun at dudalennau a ddangosir i ddefnyddwyr eraill trwy drin labeli lliw, yn ogystal â bregusrwydd CVE-2022-2527, sy'n ei gwneud hi'n bosibl amnewidiwch eich cynnwys drwy'r maes disgrifio yn y Llinell Amser Graddfa Digwyddiadau). Mae gwendidau difrifoldeb cymedrol yn ymwneud yn bennaf â'r posibilrwydd o wrthod gwasanaeth.
Ffynhonnell: opennet.ru