GitLab har udgivet den næste serie af korrigerende opdateringer til sin platform til organisering af kollaborativ udvikling - 15.3.2, 15.2.4 og 15.1.6, som eliminerer en kritisk sårbarhed (CVE-2022-2992), der gør det muligt for en autentificeret bruger at fjernkøre kode på serveren. Ligesom CVE-2022-2884-sårbarheden, som blev rettet for en uge siden, er der et nyt problem til stede i API'et til import af data fra GitHub-tjenesten. Sårbarheden optræder også i udgivelser 15.3.1, 15.2.3 og 15.1.5, som fiksede den første sårbarhed i importkoden fra GitHub.
Operationelle detaljer er endnu ikke givet. Oplysninger om sårbarheden blev indsendt til GitLab som en del af HackerOnes sårbarhed bounty-program, men i modsætning til det tidligere problem blev det identificeret af en anden deltager. Som en løsning anbefales det, at administratoren deaktiverer importfunktionen fra GitHub (i GitLab-webgrænsefladen: "Menu" -> "Admin" -> "Indstillinger" -> "Generelt" -> "Synlighed og adgangskontrol" - > "Importer kilder" -> deaktiver "GitHub").
Derudover løser de foreslåede opdateringer yderligere 14 sårbarheder, hvoraf to er markeret som farlige, ti er tildelt et medium fareniveau, og to er markeret som godartede. Følgende er anerkendt som farlige: sårbarhed CVE-2022-2865, som giver dig mulighed for at tilføje din egen JavaScript-kode til sider vist til andre brugere gennem manipulation af farveetiketter, samt sårbarhed CVE-2022-2527, som gør det muligt at erstatte dit indhold gennem beskrivelsesfeltet i Incidents scale Timeline). Moderat alvorlige sårbarheder er primært relateret til muligheden for lammelsesangreb.
Kilde: opennet.ru