GitLab publikigis la sekvan serion de korektaj ĝisdatigoj al sia platformo por organizi kunlaboran disvolviĝon - 15.3.2, 15.2.4 kaj 15.1.6, kiuj forigas kritikan vundeblecon (CVE-2022-2992), kiu permesas al aŭtentikigita uzanto malproksime ekzekuti kodon. sur la servilo. Kiel la vundebleco CVE-2022-2884, kiu estis riparita antaŭ semajno, nova problemo ĉeestas en la API por importi datumojn de la servo GitHub. La vundebleco ankaŭ aperas en eldonoj 15.3.1, 15.2.3 kaj 15.1.5, kiuj riparis la unuan vundeblecon en la importkodo de GitHub.
Operaciaj detaloj ankoraŭ ne estis disponigitaj. Informoj pri la vundebleco estis senditaj al GitLab kiel parto de la programo pri vundebleco de HackerOne, sed male al la antaŭa problemo, ĝi estis identigita de alia partoprenanto. Kiel solvo, rekomendas, ke la administranto malŝaltu la importfunkcion de GitHub (en la retinterfaco de GitLab: "Menuo" -> "Admin" -> "Agordoj" -> "Ĝenerala" -> "Videbleco kaj alirkontroloj" - > "Importi fontojn" -> malŝalti "GitHub").
Krome, la proponitaj ĝisdatigoj riparas 14 pliajn vundeblecojn, du el kiuj estas markitaj kiel danĝeraj, dek estas atribuitaj meza nivelo de danĝero, kaj du estas markitaj kiel benignaj. La jenaj estas agnoskitaj kiel danĝeraj: vundebleco CVE-2022-2865, kiu ebligas aldoni vian propran JavaScript-kodon al paĝoj montritaj al aliaj uzantoj per manipulado de koloraj etikedoj, kaj ankaŭ vundebleco CVE-2022-2527, kiu ebligas anstataŭigu vian enhavon per la priskriba kampo en la Templinio de Okazaĵoj). Moderaj severecaj vundeblecoj estas ĉefe rilataj al la ebleco de neo de servo.
fonto: opennet.ru