GitLab on julkaissut seuraavan sarjan korjaavia päivityksiä yhteiskehityksen organisointialustaan - 15.3.2, 15.2.4 ja 15.1.6, jotka poistavat kriittisen haavoittuvuuden (CVE-2022-2992), jonka avulla todennettu käyttäjä voi suorittaa koodia etänä. palvelimella. Kuten viikko sitten korjattu haavoittuvuus CVE-2022-2884, sovellusliittymässä on uusi ongelma, joka koskee tietojen tuontia GitHub-palvelusta. Haavoittuvuus esiintyy myös julkaisuissa 15.3.1, 15.2.3 ja 15.1.5, jotka korjasivat GitHubista tuontikoodin ensimmäisen haavoittuvuuden.
Toiminnan yksityiskohtia ei ole vielä kerrottu. Tietoa haavoittuvuudesta lähetettiin GitLabille osana HackerOnen haavoittuvuuspalkkioohjelmaa, mutta toisin kuin edellisessä ongelmassa, toinen osallistuja tunnisti sen. Kiertokeinona on suositeltavaa, että järjestelmänvalvoja poistaa käytöstä tuontitoiminnon GitHubista (GitLabin verkkokäyttöliittymässä: "Valikko" -> "Järjestelmänvalvoja" -> "Asetukset" -> "Yleiset" -> "Näkyvyys ja pääsyn hallinta" - > "Tuo lähteitä" -> poista "GitHub" käytöstä).
Lisäksi ehdotetut päivitykset korjaavat 14 muuta haavoittuvuutta, joista kaksi on merkitty vaarallisiksi, kymmenellä on keskitason vaarallinen ja kaksi on merkitty hyvänlaatuisiksi. Seuraavat tunnistetaan vaarallisiksi: haavoittuvuus CVE-2022-2865, jonka avulla voit lisätä oman JavaScript-koodisi sivuille, jotka näytetään muille käyttäjille manipuloimalla värimerkintöjä, sekä haavoittuvuus CVE-2022-2527, joka mahdollistaa korvaa sisältösi Tapahtumat-asteikon aikajanan kuvauskentän kautta). Kohtalaisen vakavuuden haavoittuvuudet liittyvät ensisijaisesti palvelun epäämisen mahdollisuuteen.
Lähde: opennet.ru