GitLab telah menerbitkan serangkaian pembaruan korektif berikutnya pada platformnya untuk mengatur pengembangan kolaboratif - 15.3.2, 15.2.4 dan 15.1.6, yang menghilangkan kerentanan kritis (CVE-2022-2992) yang memungkinkan pengguna yang diautentikasi untuk mengeksekusi kode dari jarak jauh di server. Seperti kerentanan CVE-2022-2884 yang diperbaiki seminggu yang lalu, masalah baru muncul di API untuk mengimpor data dari layanan GitHub. Kerentanan juga muncul di rilis 15.3.1, 15.2.3 dan 15.1.5, yang memperbaiki kerentanan pertama dalam kode impor dari GitHub.
Rincian operasional belum diberikan. Informasi tentang kerentanan dikirimkan ke GitLab sebagai bagian dari program hadiah kerentanan HackerOne, tetapi tidak seperti masalah sebelumnya, masalah ini diidentifikasi oleh peserta lain. Sebagai solusinya, disarankan agar administrator menonaktifkan fungsi impor dari GitHub (di antarmuka web GitLab: “Menu” -> “Admin” -> “Pengaturan” -> “Umum” -> “Kontrol visibilitas dan akses” - > “Impor sumber” -> nonaktifkan "GitHub").
Selain itu, pembaruan yang diusulkan memperbaiki 14 kerentanan lainnya, dua di antaranya ditandai sebagai berbahaya, sepuluh ditetapkan sebagai tingkat bahaya sedang, dan dua ditandai sebagai tidak berbahaya. Berikut ini dianggap berbahaya: kerentanan CVE-2022-2865, yang memungkinkan Anda menambahkan kode JavaScript Anda sendiri ke halaman yang ditampilkan kepada pengguna lain melalui manipulasi label warna, serta kerentanan CVE-2022-2527, yang memungkinkan untuk gantikan konten Anda melalui kolom deskripsi di Timeline Skala Insiden). Kerentanan dengan tingkat keparahan sedang terutama terkait dengan kemungkinan penolakan layanan.
Sumber: opennet.ru