共同開発プラットフォーム GitLab 14.7.7、14.8.5、および 14.9.2 の修正アップデートにより、OmniAuth (OAuth) プロバイダー、LDAP、SAML を使用して登録されたアカウントのハードコードされたパスワードの設定に関連する重大な脆弱性 (CVE-2022-1162) が解消されます。 。 この脆弱性により、攻撃者がアカウントにアクセスできるようになる可能性があります。 すべてのユーザーは、アップデートを直ちにインストールすることをお勧めします。 問題の詳細はまだ明らかにされていない。 この問題の影響を受けたアカウントを持つユーザーには、パスワードをリセットするよう求められています。 この問題は GitLab 従業員によって特定されましたが、調査ではユーザーによる侵害の痕跡は明らかになりませんでした。
新しいバージョンではさらに 16 件の脆弱性も解消され、そのうち 2 件は危険、9 件は中程度、5 件は危険ではないとマークされています。 危険な問題には、コメント内の HTML インジェクション (XSS) の可能性 (CVE-2022-1175) や問題内のコメント/説明 (CVE-2022-1190) が含まれます。
出所: オープンネット.ru