Το GitLab δημοσίευσε την επόμενη σειρά διορθωτικών ενημερώσεων στην πλατφόρμα του για την οργάνωση συνεργατικής ανάπτυξης - 15.3.2, 15.2.4 και 15.1.6, οι οποίες εξαλείφουν μια κρίσιμη ευπάθεια (CVE-2022-2992) που επιτρέπει σε έναν πιστοποιημένο χρήστη να εκτελεί εξ αποστάσεως κώδικα στον διακομιστή. Όπως και η ευπάθεια CVE-2022-2884, η οποία επιδιορθώθηκε πριν από μια εβδομάδα, υπάρχει ένα νέο πρόβλημα στο API για την εισαγωγή δεδομένων από την υπηρεσία GitHub. Η ευπάθεια εμφανίζεται επίσης στις εκδόσεις 15.3.1, 15.2.3 και 15.1.5, οι οποίες διόρθωσαν την πρώτη ευπάθεια στον κώδικα εισαγωγής από το GitHub.
Λεπτομέρειες λειτουργίας δεν έχουν δοθεί ακόμη. Οι πληροφορίες σχετικά με την ευπάθεια υποβλήθηκαν στο GitLab ως μέρος του προγράμματος επιβράβευσης ευπάθειας του HackerOne, αλλά σε αντίθεση με το προηγούμενο πρόβλημα, εντοπίστηκε από άλλον συμμετέχοντα. Ως λύση, συνιστάται ο διαχειριστής να απενεργοποιήσει τη λειτουργία εισαγωγής από το GitHub (στη διεπαφή ιστού GitLab: "Μενού" -> "Διαχειριστής" -> "Ρυθμίσεις" -> "Γενικά" -> "Στοιχεία ελέγχου ορατότητας και πρόσβασης" - > "Εισαγωγή πηγών" -> απενεργοποιήστε το "GitHub").
Επιπλέον, οι προτεινόμενες ενημερώσεις διορθώνουν 14 ακόμη τρωτά σημεία, δύο από τα οποία επισημαίνονται ως επικίνδυνα, σε δέκα έχουν εκχωρηθεί μεσαίο επίπεδο κινδύνου και σε δύο επισημαίνονται ως καλοήθη. Τα ακόλουθα αναγνωρίζονται ως επικίνδυνα: ευπάθεια CVE-2022-2865, η οποία σας επιτρέπει να προσθέσετε τον δικό σας κώδικα JavaScript σε σελίδες που εμφανίζονται σε άλλους χρήστες μέσω χειρισμού ετικετών χρώματος, καθώς και ευπάθεια CVE-2022-2527, η οποία καθιστά δυνατή την αντικαταστήστε το περιεχόμενό σας μέσω του πεδίου περιγραφής στο Timeline της κλίμακας συμβάντων). Τα τρωτά σημεία μέτριας σοβαρότητας σχετίζονται κυρίως με την πιθανότητα άρνησης υπηρεσίας.
Πηγή: opennet.ru