Korektaj ĝisdatigoj al la kunlabora evoluiga platformo GitLab 14.7.7, 14.8.5 kaj 14.9.2 forigas kritikan vundeblecon (CVE-2022-1162) asociitan kun fikso de malmola koditaj pasvortoj por kontoj registritaj per la provizanto OmniAuth (OAuth), LDAP kaj SAML. . La vundebleco eble permesas al atakanto akiri aliron al la konto. Ĉiuj uzantoj estas konsilitaj instali la ĝisdatigon tuj. Detaloj de la problemo ankoraŭ ne estis malkaŝitaj. Uzantoj, kies kontoj estis tuŝitaj de la problemo, estis instigitaj restarigi siajn pasvortojn. La problemo estis identigita de GitLab-dungitoj kaj la esploro ne malkaŝis spurojn de uzanta kompromiso.
La novaj versioj ankaŭ forigas 16 pliajn vundeblecojn, el kiuj 2 estas markitaj kiel danĝeraj, 9 estas moderaj kaj 5 ne estas danĝeraj. Danĝeraj aferoj inkluzivas la eblecon de HTML-injekto (XSS) en komentoj (CVE-2022-1175) kaj komentoj/priskriboj en eldono (CVE-2022-1190).
fonto: opennet.ru