פגיעות קריטית שנייה ב-GitLab תוך שבוע

GitLab פרסמה את סדרת העדכונים המתקנת הבאה לפלטפורמה שלה לארגון פיתוח שיתופי - 15.3.2, 15.2.4 ו-15.1.6, המבטלות פגיעות קריטית (CVE-2022-2992) המאפשרת למשתמש מאומת לבצע מרחוק קוד על השרת. בדומה לפגיעות CVE-2022-2884, שתוקנה לפני שבוע, קיימת בעיה חדשה ב-API לייבוא ​​נתונים משירות GitHub. הפגיעות מופיעה גם במהדורות 15.3.1, 15.2.3 ו-15.1.5, שתיקנו את הפגיעות הראשונה בקוד הייבוא ​​מ-GitHub.

טרם נמסרו פרטים תפעוליים. מידע על הפגיעות נמסר ל-GitLab כחלק מתוכנית ה-vulnerability bounty של HackerOne, אך בניגוד לבעיה הקודמת, הוא זוהה על ידי משתתף אחר. כדרך לעקיפת הבעיה, מומלץ שהמנהלן יבטל את פונקציית הייבוא ​​מ-GitHub (בממשק האינטרנט של GitLab: "תפריט" -> "אדמין" -> "הגדרות" -> "כללי" -> "בקרות נראות וגישה" - > "ייבוא ​​מקורות" -> השבת את "GitHub").

בנוסף, העדכונים המוצעים מתקנים 14 נקודות תורפה נוספות, שתיים מהן מסומנות כמסוכנות, עשר מוקצות ברמת סכנה בינונית ושתיים מסומנות כשפירות. הדברים הבאים מוכרים כמסוכנים: פגיעות CVE-2022-2865, המאפשרת לך להוסיף קוד JavaScript משלך לדפים המוצגים למשתמשים אחרים באמצעות מניפולציה של תוויות צבע, וכן פגיעות CVE-2022-2527, המאפשרת החלף את התוכן שלך דרך שדה התיאור בציר הזמן של סולם אירועים). פגיעות בחומרה בינונית קשורות בעיקר לאפשרות של מניעת שירות.

מקור: OpenNet.ru