GitLab je objavio sljedeću seriju korektivnih ažuriranja svoje platforme za organiziranje kolaborativnog razvoja - 15.3.2, 15.2.4 i 15.1.6, koji eliminiraju kritičnu ranjivost (CVE-2022-2992) koja omogućuje autentificiranom korisniku daljinsko izvršavanje koda na poslužitelju. Poput ranjivosti CVE-2022-2884, koja je popravljena prije tjedan dana, novi problem prisutan je u API-ju za uvoz podataka s GitHub servisa. Ranjivost se također pojavljuje u izdanjima 15.3.1, 15.2.3 i 15.1.5, koja su popravila prvu ranjivost u uvoznom kodu s GitHuba.
Operativni detalji još nisu objavljeni. Informacija o ranjivosti dostavljena je GitLabu u sklopu HackerOneovog programa za dodjelu ranjivosti, no za razliku od prethodnog problema, identificirao ju je drugi sudionik. Kao zaobilazno rješenje, preporučuje se da administrator onemogući funkciju uvoza iz GitHuba (u GitLab web sučelju: “Izbornik” -> “Administrator” -> “Postavke” -> “Općenito” -> “Vidljivost i kontrole pristupa” - > “Uvezi izvore” -> onemogući "GitHub").
Osim toga, predložena ažuriranja popravljaju još 14 ranjivosti, od kojih su dvije označene kao opasne, deset im je dodijeljena srednja razina opasnosti, a dvije su označene kao benigne. Sljedeće je prepoznato kao opasno: ranjivost CVE-2022-2865, koja vam omogućuje dodavanje vlastitog JavaScript koda na stranice prikazane drugim korisnicima kroz manipulaciju oznaka boja, kao i ranjivost CVE-2022-2527, koja omogućuje zamijenite svoj sadržaj kroz polje opisa na vremenskoj traci skale incidenata). Ranjivosti umjerene ozbiljnosti prvenstveno se odnose na mogućnost odbijanja usluge.
Izvor: opennet.ru