GitLab سری بعدی به روز رسانی های اصلاحی پلتفرم خود را برای سازماندهی توسعه مشارکتی منتشر کرده است - 15.3.2، 15.2.4 و 15.1.6، که آسیب پذیری حیاتی (CVE-2022-2992) را حذف می کند که به کاربر تأیید شده اجازه می دهد تا از راه دور کد را اجرا کند. روی سرور مانند آسیبپذیری CVE-2022-2884 که یک هفته پیش برطرف شد، مشکل جدیدی در API برای وارد کردن دادهها از سرویس GitHub وجود دارد. این آسیبپذیری همچنین در نسخههای 15.3.1، 15.2.3 و 15.1.5 ظاهر میشود که اولین آسیبپذیری را در کد واردات از GitHub برطرف کردند.
جزئیات عملیاتی هنوز ارائه نشده است. اطلاعات مربوط به این آسیب پذیری به عنوان بخشی از برنامه جایزه آسیب پذیری HackerOne به GitLab ارسال شد، اما برخلاف مشکل قبلی، توسط شرکت کننده دیگری شناسایی شد. به عنوان یک راه حل، توصیه می شود که مدیر عملکرد واردات از GitHub را غیرفعال کند (در رابط وب GitLab: "Menu" -> "Admin" -> "Settings" -> "General" -> "Visibility and Access Controls" - > "Import sources" -> غیرفعال کردن "GitHub").
علاوه بر این، بهروزرسانیهای پیشنهادی 14 آسیبپذیری دیگر را برطرف میکنند که دو مورد از آنها خطرناک، 2022 آسیبپذیری متوسط و دو مورد به عنوان خوشخیم مشخص شدهاند. موارد زیر به عنوان خطرناک شناخته می شوند: آسیب پذیری CVE-2865-2022، که به شما امکان می دهد کد جاوا اسکریپت خود را از طریق دستکاری برچسب های رنگی به صفحات نشان داده شده به سایر کاربران اضافه کنید، همچنین آسیب پذیری CVE-2527-XNUMX که این امکان را فراهم می کند محتوای خود را از طریق قسمت توضیحات در جدول زمانی مقیاس حوادث جایگزین کنید). آسیب پذیری های با شدت متوسط در درجه اول به امکان انکار خدمات مربوط می شود.
منبع: opennet.ru