OAuth, LDAP 및 SAML을 통해 승인된 계정을 탈취할 수 있는 GitLab의 취약점

공동 개발 플랫폼 GitLab 14.7.7, 14.8.5 및 14.9.2에 대한 수정 업데이트는 OmniAuth(OAuth) 공급자, LDAP 및 SAML을 사용하여 등록된 계정에 대해 하드코딩된 비밀번호 설정과 관련된 심각한 취약점(CVE-2022-1162)을 제거합니다. . 이 취약점으로 인해 공격자가 계정에 액세스할 수 있게 될 가능성이 있습니다. 모든 사용자는 즉시 업데이트를 설치하는 것이 좋습니다. 문제의 세부 사항은 아직 공개되지 않았습니다. 이 문제로 인해 영향을 받은 계정의 사용자에게는 비밀번호를 재설정하라는 메시지가 표시되었습니다. 이 문제는 GitLab 직원에 의해 확인되었으며 조사 결과 사용자 손상의 흔적은 발견되지 않았습니다.

새 버전에서는 16개 이상의 취약점도 제거되었으며, 그 중 2개는 위험, 9개는 보통, 5개는 위험하지 않음으로 표시되었습니다. 위험한 문제에는 댓글에 HTML 삽입(XSS) 가능성(CVE-2022-1175)과 문제의 댓글/설명(CVE-2022-1190)이 포함됩니다.

출처 : opennet.ru