Dua kritika vundebleco en GitLab en semajno

GitLab publikigis la plej novan serion de flikaĵoj por sia kunlabora evoluiga platformo — versioj 15.3.2, 15.2.4 kaj 15.1.6 — kiuj traktas kritikan vundeblecon (CVE-2022-2992) kiu povus permesi al aŭtentikigita uzanto malproksime ekzekuti kodon sur la servilo. Kiel CVE-2022-2884, kiu estis flikita antaŭ semajno, ĉi tiu nova problemo influas la API-on por importi datumojn de GitHub. La vundebleco ankaŭ influas eldonojn 15.3.1, 15.2.3 kaj 15.1.5, kiuj korektis la komencan vundeblecon en la importa kodo de GitHub.

Detaloj pri la ekspluatado ankoraŭ ne haveblas. Informoj pri la vundebleco estis raportitaj al GitLab per la cimo-premiprogramo HackerOne, sed male al la antaŭa problemo, ĝin malkovris alia partoprenanto. Kiel solvon, administrantoj estas konsilitaj malŝalti la GitHub-importan funkcion (en la GitLab-reta interfaco: "Menuo" -> "Administranto" -> "Agordoj" -> "Ĝenerala" -> "Videbleco kaj alirkontroloj" -> "Importi fontojn" -> malŝalti "GitHub").

Plie, la proponitaj ĝisdatigoj riparas 14 pliajn vundeblecojn, el kiuj du estas markitaj kiel severaj, dek havas mezan gravecnivelon, kaj du estas markitaj kiel ne-severaj. La jenaj vundeblecoj estas konsiderataj severaj: vundebleco CVE-2022-2865, kiu permesas al uzantoj enmeti kutiman JavaScript-kodon en paĝojn montratajn al aliaj uzantoj per manipulado de koloretikedoj, kaj vundebleco CVE-2022-2527, kiu permesas al uzantoj enmeti kutiman enhavon en la priskriban kampon en la Okazaĵa Kronologio. Mezgravecaj vundeblecoj ĉefe implikas neon de servo.

fonto: opennet.ru

Aĉetu fidindan gastigadon por retejoj kun DDoS-protekto, VPS-VDS-serviloj 🔥 Aĉetu fidindan retejan gastigadon kun DDoS-protekto, VPS VDS-servilojn | ProHoster