Ebipụtala mmelite mmezi na ikpo okwu maka ịhazi mmepe mmekorita - GitLab 16.7.2, 16.6.4 na 16.5.6, nke na-edozi adịghị ike abụọ dị egwu. Ihe ọghọm nke mbụ (CVE-2023-7028), bụ nke ekenyere ọkwa kachasị njọ (10 n'ime 10), na-enye gị ohere ijide akaụntụ onye ọzọ site na iji ụdị mgbake paswọọdụ echefuru. A na-ebute adịghị ike ahụ site na ohere nke izipu ozi-e nwere koodu nrụpụta paswọọdụ gaa na adreesị ozi-e akwadoghị. Nsogbu a na-apụta kemgbe ntọhapụ nke GitLab 16.1.0, nke webatara ikike izipu koodu mgbake okwuntughe na adreesị ozi-e nkwado akwadoghị.
Iji lelee eziokwu nke imebi usoro, a na-atụ aro ka nyochaa na gitlab-rails/production_json.log log ọnụnọ nke arịrịọ HTTP gaa na /users/password njikwa na-egosi ọtụtụ ozi ịntanetị na “params.value.email ” oke. A na-atụ aro ka ịlele maka ndenye na gitlab-rails/audit_json.log log nwere uru PaswọduController#create in meta.caller.id ma na-egosi ọtụtụ adreesị dị na ngọngọ_details. Enweghị ike ịmecha ọgụ a ma ọ bụrụ na onye ọrụ nyere nyocha ihe abụọ.
Ihe ọghọm nke abụọ, CVE-2023-5356, dị na koodu maka njikọta na ọrụ Slack na Mattermost, ma na-enye gị ohere ime / -iwu n'okpuru onye ọrụ ọzọ n'ihi enweghị nlele ikike kwesịrị ekwesị. E kenyere okwu ahụ ọkwa dị njọ nke 9.6 n'ime 10. Ụdị ọhụrụ ahụ na-ewepụkwa obere ihe ize ndụ (7.6 n'ime 10) adịghị ike (CVE-2023-4812), nke na-enye gị ohere ịgafe nkwenye CODEOWNERS site n'ịgbakwunye mgbanwe na nke a kwadoro na mbụ. jikota arịrịọ.
A na-eme atụmatụ ịkọwapụta ozi zuru ezu gbasara adịghị ike ndị achọpụtara ụbọchị 30 ka ebipụtachara ihe ndozi ahụ. Edebere adịghị ike ndị ahụ na GitLab dịka akụkụ nke mmemme ugwo ọghọm HackerOne.
isi: opennet.ru