GitLab-ek garapen kolaboratiboa antolatzeko bere plataformarako hurrengo eguneratze zuzentzaile sorta argitaratu du - 15.3.2, 15.2.4 eta 15.1.6, ahultasun kritiko bat (CVE-2022-2992) ezabatzen duena, autentifikatutako erabiltzaile bati kodea urrunetik exekutatzeko aukera ematen duena. zerbitzarian. Duela astebete konpondu zen CVE-2022-2884 ahultasuna bezala, arazo berri bat dago GitHub zerbitzutik datuak inportatzeko APIan. Zaurgarritasuna 15.3.1, 15.2.3 eta 15.1.5 bertsioetan ere agertzen da, GitHub-eko inportazio-kodeko lehen ahultasuna konpondu zutenak.
Operazio xehetasunak oraindik ez dira eman. Ahultasunari buruzko informazioa GitLab-era bidali zen HackerOneren ahultasun-sarien programaren barruan, baina aurreko arazoa ez bezala, beste parte-hartzaile batek identifikatu zuen. Konponbide gisa, administratzaileak GitHub-eko inportazio-funtzioa desgaitzea gomendatzen du (GitLab web-interfazean: "Menua" -> "Admin" -> "Ezarpenak" -> "Orokorra" -> "Ikusgarritasun eta sarbide kontrolak" - > "Inportatu iturriak" -> desgaitu "GitHub").
Horrez gain, proposatutako eguneratzeek 14 ahultasun gehiago konpontzen dituzte, horietako bi arriskutsu gisa markatuta daude, hamarri arrisku maila ertaina esleitzen zaie eta bi onberak bezala markatuta daude. Arriskutsutzat jotzen dira honako hauek: CVE-2022-2865 ahultasuna, zeinak beste erabiltzaileei erakutsitako orrietan zure JavaScript kodea gehitzeko aukera ematen duen kolore-etiketak manipulatuz, baita CVE-2022-2527 ahultasuna ere. ordezkatu zure edukia Gorabeherak eskalako kronogramako deskribapen eremuaren bidez). Larritasun ertaineko ahultasunak zerbitzua ukatzeko aukerarekin lotuta daude batez ere.
Iturria: opennet.ru