Foilsíodh nuashonruithe ceartaitheacha ar an ardán chun forbairt chomhoibríoch a eagrú - GitLab 16.7.2, 16.6.4 agus 16.5.6, a shocraíonn dhá leochaileacht ríthábhachtach. Ligeann an chéad leochaileacht (CVE-2023-7028), a sanntar an t-uasleibhéal déine (10 as 10), duit cuntas duine éigin eile a urghabháil trí ionramháil a dhéanamh ar an bhfoirm athshlánaithe pasfhocal dearmadta. Is é is cúis leis an leochaileacht ná gur féidir ríomhphost le cód athshocraithe pasfhocail a sheoladh chuig seoltaí ríomhphoist neamhfhíoraithe. Tá an fhadhb le feiceáil ó scaoileadh GitLab 16.1.0, rud a thug isteach an cumas cód aisghabhála pasfhocal a sheoladh chuig seoladh ríomhphoist cúltaca neamhfhíoraithe.
Chun fíricí comhréitigh na gcóras a sheiceáil, tá sé beartaithe measúnú a dhéanamh sa logáil gitlab-rails/production_json.log ar láithreacht iarratais HTTP chuig an láimhseálaí /users/pasfhocal ag léiriú raon de roinnt ríomhphost sa “params.value.email ” paraiméadar. Moltar freisin seiceáil le haghaidh iontrálacha sa loga gitlab-rails/audit_json.log leis an luach PasswordsController#create i meta.caller.id agus a léiríonn sraith seoltaí éagsúla sa bhloc target_details. Ní féidir an t-ionsaí a chríochnú má chumasaíonn an t-úsáideoir fíordheimhniú dhá fhachtóir.
Tá an dara leochaileacht, CVE-2023-5356, i láthair sa chód maidir le comhtháthú leis na seirbhísí Slack and Mattermost, agus ligeann sé duit /-orduithe a fhorghníomhú faoi úsáideoir eile mar gheall ar an easpa seiceála údaraithe cuí. Sanntar leibhéal déine 9.6 as 10 don tsaincheist. Cuireann na leaganacha nua deireadh le leochaileacht nach bhfuil chomh contúirteach (7.6 as 10) chomh maith (CVE-2023-4812), a ligeann duit formheas CODEOWNERS a sheachbhóthar trí athruithe a chur leis ar chead a ceadaíodh roimhe seo. iarratas chumasc.
Tá sé beartaithe faisnéis mhionsonraithe faoi na leochaileachtaí aitheanta a nochtadh 30 lá tar éis fhoilsiú an tsocraithe. Cuireadh na leochaileachtaí faoi bhráid GitLab mar chuid de chlár bounty leochaileachta HackerOne.
Foinse: oscailtenet.ru