Les mises à jour correctives de la plateforme de développement collaboratif GitLab 14.7.7, 14.8.5 et 14.9.2 éliminent une vulnérabilité critique (CVE-2022-1162) associée à la définition de mots de passe codés en dur pour les comptes enregistrés à l'aide du fournisseur OmniAuth (OAuth), LDAP et SAML) . La vulnérabilité permet potentiellement à un attaquant d'accéder au compte. Il est conseillé à tous les utilisateurs d'installer la mise à jour immédiatement. Les détails du problème n'ont pas encore été divulgués. Les utilisateurs dont les comptes ont été concernés par le problème ont été invités à réinitialiser leur mot de passe. Le problème a été identifié par les employés de GitLab et l'enquête n'a révélé aucune trace de compromission des utilisateurs.
Les nouvelles versions éliminent également 16 vulnérabilités supplémentaires, dont 2 sont marquées comme dangereuses, 9 sont modérées et 5 ne sont pas dangereuses. Les problèmes dangereux incluent la possibilité d'injection HTML (XSS) dans les commentaires (CVE-2022-1175) et les commentaires/descriptions en cause (CVE-2022-1190).
Source: opennet.ru