As actualizacións correctoras da plataforma de desenvolvemento colaborativo GitLab 14.7.7, 14.8.5 e 14.9.2 eliminan unha vulnerabilidade crítica (CVE-2022-1162) asociada á configuración de contrasinais codificados para contas rexistradas mediante o provedor OmniAuth (OAuth), LDAP e SAML) . A vulnerabilidade permite que un atacante poida acceder á conta. Recoméndase a todos os usuarios que instalen a actualización inmediatamente. Os detalles do problema aínda non foron revelados. Para os usuarios cuxas contas se viron afectadas polo problema, iniciouse un restablecemento dos seus contrasinais. O problema foi identificado polos empregados de GitLab e a investigación non revelou ningún rastro de compromiso do usuario.
As novas versións tamén eliminan 16 vulnerabilidades máis, das cales 2 están marcadas como perigosas, 9 son moderadas e 5 non son perigosas. Os problemas perigosos inclúen a posibilidade de inxección de HTML (XSS) nos comentarios (CVE-2022-1175) e os comentarios/descricións en cuestión (CVE-2022-1190).
Fonte: opennet.ru