GitLab-ը հրապարակել է իր հարթակի ուղղիչ թարմացումների հաջորդ շարքը՝ համագործակցային զարգացում կազմակերպելու համար՝ 15.3.2, 15.2.4 և 15.1.6, որոնք վերացնում են կրիտիկական խոցելիությունը (CVE-2022-2992), որը թույլ է տալիս վավերացված օգտատիրոջը հեռակա կարգով կատարել կոդը: սերվերի վրա: Ինչպես CVE-2022-2884 խոցելիությունը, որը շտկվել է մեկ շաբաթ առաջ, API-ում առկա է նոր խնդիր՝ GitHub ծառայությունից տվյալների ներմուծման համար: Խոցելիությունը հայտնվում է նաև 15.3.1, 15.2.3 և 15.1.5 թողարկումներում, որոնք շտկել են GitHub-ի ներմուծման կոդի առաջին խոցելիությունը:
Օպերատիվ մանրամասները դեռ չեն հաղորդվում։ Խոցելիության մասին տեղեկատվությունը ներկայացվել է GitLab-ին՝ որպես HackerOne-ի խոցելիության պարգևատրման ծրագրի մի մաս, սակայն, ի տարբերություն նախորդ խնդրի, այն բացահայտվել է մեկ այլ մասնակցի կողմից։ Որպես լուծում, խորհուրդ է տրվում, որ ադմինիստրատորն անջատի ներմուծման գործառույթը GitHub-ից (GitLab վեբ ինտերֆեյսում՝ «Մենյու» -> «Ադմինիստրատոր» -> «Կարգավորումներ» -> «Ընդհանուր» -> «Տեսանելիություն և մուտքի վերահսկում» - > «Ներմուծման աղբյուրներ» -> անջատել «GitHub»):
Բացի այդ, առաջարկվող թարմացումները ֆիքսում են ևս 14 խոցելիություն, որոնցից երկուսը նշվում են որպես վտանգավոր, տասը` միջին վտանգի մակարդակ, իսկ երկուսը` բարորակ: Հետևյալները ճանաչվում են որպես վտանգավոր՝ խոցելիություն CVE-2022-2865, որը թույլ է տալիս ավելացնել ձեր սեփական JavaScript կոդը այլ օգտատերերին ցուցադրված էջերին՝ գունավոր պիտակների մանիպուլյացիայի միջոցով, ինչպես նաև խոցելիություն CVE-2022-2527, որը հնարավորություն է տալիս փոխարինեք ձեր բովանդակությունը «Միջադեպերի սանդղակի ժամանակացույցի» նկարագրության դաշտում): Միջին ծանրության խոցելիությունը հիմնականում կապված է ծառայությունից հրաժարվելու հնարավորության հետ:
Source: opennet.ru