GitLab a publié la prochaine série de mises à jour correctives de sa plateforme d'organisation du développement collaboratif - 15.3.2, 15.2.4 et 15.1.6, qui éliminent une vulnérabilité critique (CVE-2022-2992) permettant à un utilisateur authentifié d'exécuter du code à distance sur le serveur. À l'image de la vulnérabilité CVE-2022-2884, corrigée il y a une semaine, un nouveau problème est présent dans l'API d'importation de données depuis le service GitHub. La vulnérabilité apparaît également dans les versions 15.3.1, 15.2.3 et 15.1.5, qui corrigent la première vulnérabilité dans le code d'importation depuis GitHub.
Les détails opérationnels n’ont pas encore été fournis. Des informations sur la vulnérabilité ont été soumises à GitLab dans le cadre du programme de primes de vulnérabilité de HackerOne, mais contrairement au problème précédent, elles ont été identifiées par un autre participant. Pour contourner le problème, il est recommandé à l'administrateur de désactiver la fonction d'importation depuis GitHub (dans l'interface web de GitLab : « Menu » -> « Admin » -> « Paramètres » -> « Général » -> « Visibilité et contrôles d'accès » - > « Importer des sources » -> désactiver « GitHub »).
De plus, les mises à jour proposées corrigent 14 vulnérabilités supplémentaires, dont deux sont marquées comme dangereuses, dix se voient attribuer un niveau de danger moyen et deux sont marquées comme bénignes. Sont reconnues comme dangereuses : la vulnérabilité CVE-2022-2865, qui permet d'ajouter votre propre code JavaScript aux pages présentées aux autres utilisateurs via la manipulation des étiquettes de couleur, ainsi que la vulnérabilité CVE-2022-2527, qui permet de remplacez votre contenu via le champ de description dans la chronologie de l'échelle des incidents). Les vulnérabilités de gravité modérée sont principalement liées à la possibilité d’un déni de service.
Source: opennet.ru