Tha GitLab air an ath shreath de dh’ ùrachaidhean ceartachaidh fhoillseachadh don àrd-ùrlar aige airson leasachadh co-obrachail a chuir air dòigh - 15.3.2, 15.2.4 agus 15.1.6, a chuireas às do chugallachd èiginneach (CVE-2022-2992) a leigeas le neach-cleachdaidh dearbhte còd a chuir an gnìomh air astar. air an fhrithealaiche. Coltach ri so-leòntachd CVE-2022-2884, a chaidh a shuidheachadh o chionn seachdain, tha duilgheadas ùr an làthair anns an API airson dàta a thoirt a-steach bhon t-seirbheis GitHub. Tha an so-leòntachd cuideachd a ’nochdadh ann am fiosan 15.3.1, 15.2.3 agus 15.1.5, a shuidhich a’ chiad so-leòntachd anns a ’chòd in-mhalairt bho GitHub.
Cha deach mion-fhiosrachadh obrachaidh a thoirt seachad fhathast. Chaidh fiosrachadh mun so-leòntachd a chuir a-steach gu GitLab mar phàirt de phrògram bounty so-leòntachd HackerOne, ach eu-coltach ris an duilgheadas a bh ’ann roimhe, chaidh a chomharrachadh le com-pàirtiche eile. Mar fhuasgladh, thathas a’ moladh gun cuir an rianaire à comas an gnìomh in-mhalairt bho GitHub (ann an eadar-aghaidh lìn GitLab: “Menu” -> “Admin” -> “Roghainnean” -> “Coitcheann” -> “Smachd faicsinneachd is ruigsinneachd” - > “In-mhalairt stòran” -> cuir à comas “GitHub”).
A bharrachd air an sin, tha na h-ùrachaidhean a thathar a’ moladh a’ suidheachadh 14 so-leòntachd a bharrachd, le dhà dhiubh air an comharrachadh mar chunnartach, tha deichnear air an sònrachadh le ìre meadhanach de chunnart, agus dhà air an comharrachadh mar neo-riaghailteach. Thathas ag aithneachadh gu bheil na leanas cunnartach: so-leòntachd CVE-2022-2865, a leigeas leat do chòd JavaScript fhèin a chur ri duilleagan a tha air an sealltainn do luchd-cleachdaidh eile tro bhith a’ làimhseachadh bhileagan dath, a bharrachd air so-leòntachd CVE-2022-2527, a tha ga dhèanamh comasach cuir do shusbaint an àite tron raon tuairisgeul ann an Loidhne-tìm sgèile Tachartas). Tha so-leòntachd meadhanach trom gu sònraichte co-cheangailte ri comas diùltadh seirbheis.
Source: fosgailtenet.ru