GitLab は、共同開発プラットフォームに対する次の一連の修正アップデート (15.3.2、15.2.4、および 15.1.6) を公開しました。これにより、認証されたユーザーがリモートからコードを実行できるという重大な脆弱性 (CVE-2022-2992) が修正されます。サーバ。 2022 週間前に修正された CVE-2884-15.3.1 脆弱性と同様に、GitHub サービスからデータをインポートするための API に新しい問題が存在します。 この脆弱性は、特にリリース 15.2.3、15.1.5、および XNUMX で明らかになり、GitHub からのインポート コードの最初の脆弱性が修正されました。
運用の詳細はまだ明らかにされていない。 この脆弱性は HackerOne の脆弱性報奨金プログラムの一環として GitLab に提出されましたが、前の問題とは異なり、別の寄稿者によって特定されました。 回避策として、管理者は GitHub からのインポート機能を無効にすることをお勧めします (GitLab Web インターフェイス: 「メニュー」 -> 「管理者」 -> 「設定」 -> 「一般」 -> 「可視性とアクセス制御」 -> 「ソースのインポート」 -> 「GitHub」を無効にします)。
さらに、提案されたアップデートではさらに 14 件の脆弱性が修正されており、そのうち 2022 件は危険とマークされ、2865 件は中程度の重大度レベルが割り当てられ、2022 件は非危険とマークされています。 次のものが危険であると認識されています。 CVE-2527-XNUMX 脆弱性は、カラー ラベルの操作を通じて他のユーザーに表示されるページに独自の JavaScript コードを追加できるようにします。また、CVE-XNUMX-XNUMX 脆弱性は、インシデント スケール タイムラインの説明フィールドを通じてコンテンツを置き換えることができます)。 重大度が中程度の脆弱性は、主にサービス拒否の可能性に関連しています。
出所: オープンネット.ru