GitLab hefur gefið út næstu röð af leiðréttingaruppfærslum á vettvangi sínum til að skipuleggja samvinnuþróun - 15.3.2, 15.2.4 og 15.1.6, sem útrýma mikilvægum varnarleysi (CVE-2022-2992) sem gerir auðvottaðum notanda kleift að keyra kóða fjarstýrt. á þjóninum. Eins og CVE-2022-2884 varnarleysið, sem var lagað fyrir viku síðan, er nýtt vandamál til staðar í API fyrir innflutning á gögnum frá GitHub þjónustunni. Varnarleysið birtist einnig í útgáfum 15.3.1, 15.2.3 og 15.1.5, sem lagaði fyrsta varnarleysið í innflutningskóðanum frá GitHub.
Rekstrarupplýsingar hafa ekki enn verið veittar. Upplýsingar um varnarleysið voru sendar GitLab sem hluti af varnarleysisáætlun HackerOne, en ólíkt fyrra vandamálinu var það auðkennt af öðrum þátttakanda. Til lausnar er mælt með því að stjórnandinn slökkvi á innflutningsaðgerðinni frá GitHub (í GitLab vefviðmótinu: „Valmynd“ -> „Admin“ -> „Stillingar“ -> „Almennt“ -> „Sýni og aðgangsstýringar“ - > „Flytja inn heimildir“ -> slökkva á „GitHub“).
Að auki laga fyrirhugaðar uppfærslur 14 veikleika í viðbót, þar af tveir sem eru merktir sem hættulegir, tíu eru úthlutað miðlungs hættustigi og tveir eru merktir sem góðkynja. Eftirfarandi er viðurkennt sem hættulegt: varnarleysi CVE-2022-2865, sem gerir þér kleift að bæta við þínum eigin JavaScript kóða á síður sem öðrum notendum eru sýndar með því að nota litamerki, auk varnarleysis CVE-2022-2527, sem gerir þér kleift að skiptu um innihald þitt í gegnum lýsingarreitinn á tímalínu atvikskvarða). Miðlungs alvarlegir veikleikar tengjast fyrst og fremst möguleikanum á neitun á þjónustu.
Heimild: opennet.ru