GitLab ha publicado la próxima serie de actualizaciones correctivas para su plataforma para organizar el desarrollo colaborativo: 15.3.2, 15.2.4 y 15.1.6, que eliminan una vulnerabilidad crítica (CVE-2022-2992) que permite a un usuario autenticado ejecutar código de forma remota. en el servidor. Al igual que la vulnerabilidad CVE-2022-2884, que se solucionó hace una semana, hay un nuevo problema en la API para importar datos del servicio GitHub. La vulnerabilidad también aparece en las versiones 15.3.1, 15.2.3 y 15.1.5, que solucionaron la primera vulnerabilidad en el código de importación de GitHub.
Aún no se han proporcionado detalles operativos. La información sobre la vulnerabilidad se envió a GitLab como parte del programa de recompensas por vulnerabilidades de HackerOne, pero a diferencia del problema anterior, fue identificado por otro participante. Como solución alternativa, se recomienda que el administrador desactive la función de importación desde GitHub (en la interfaz web de GitLab: “Menú” -> “Admin” -> “Configuración” -> “General” -> “Controles de visibilidad y acceso” - > “Importar fuentes” -> desactivar "GitHub").
Además, las actualizaciones propuestas corrigen 14 vulnerabilidades más, dos de las cuales están marcadas como peligrosas, a diez se les asigna un nivel de peligro medio y dos están marcadas como benignas. Se reconocen como peligrosas: la vulnerabilidad CVE-2022-2865, que permite añadir su propio código JavaScript a las páginas mostradas a otros usuarios mediante la manipulación de etiquetas de color, así como la vulnerabilidad CVE-2022-2527, que permite sustituya su contenido a través del campo descripción en la escala de Incidentes Timeline). Las vulnerabilidades de gravedad moderada están relacionadas principalmente con la posibilidad de denegación de servicio.
Fuente: opennet.ru