Nûvekirinên rastkirî yên platformê ji bo organîzekirina pêşkeftina hevkariyê hatine weşandin - GitLab 16.7.2, 16.6.4 û 16.5.6, ku du qelsiyên krîtîk rast dikin. Zehfiya yekem (CVE-2023-7028), ku asta herî giran (10 ji 10) tê destnîşan kirin, dihêle hûn bi manîpulekirina forma vegerandina şîfreya jibîrkirî hesabê kesek din bigirin. Zehfbûn ji ber îhtîmala şandina e-nameyek bi kodek vesazkirina şîfreyê ji navnîşanên e-nameya nerastkirî re çêdibe. Pirsgirêk ji dema serbestberdana GitLab 16.1.0 ve xuya dike, ku jêhatîbûna şandina kodek vegerandina şîfreyê ji navnîşanek e-nameyek paşvekirî ya nerastkirî re destnîşan kir.
Ji bo kontrolkirina rastiyên lihevhatina pergalan, tê pêşniyar kirin ku di têketina gitlab-rails/production_json.log de hebûna daxwazên HTTP-ê ji hilgirê /users/password-ê re binirxînin ku komek ji çend e-nameyên di "params.value.email" de destnîşan dike. ” parametre. Di heman demê de tê pêşniyar kirin ku hûn têketinên di têketina gitlab-rails/audit_json.log de bi nirxa PasswordsController#create di meta.caller.id de werin kontrol kirin û di bloka target_details de komek ji çend navnîşanan destnîşan bikin. Heger bikarhêner erêkirina du-faktorî çalak bike êrîş nikare biqede.
Zehfiya duyemîn, CVE-2023-5356, di kodê de ji bo entegrasyona bi karûbarên Slack û Mattermost re heye, û dihêle hûn ji ber nebûna kontrolkirina destûrnameya rast di bin /-fermanan de di bin bikarhênerek din de bicîh bikin. Pirsgirêka asta giraniyê 9.6 ji 10. Guhertoyên nû di heman demê de qelsiyek kêmtir xeternak (7.6 ji 10) (CVE-2023-4812) ji holê radike, ku destûrê dide te ku hûn erêkirina CODEOWNERS bi zêdekirina guheztinek li pejirandîyek berê derbas bikin. daxwaza yekbûnê.
Agahiyên hûrgulî di derbarê qelsiyên hatine destnîşankirin de tê plan kirin ku 30 roj piştî weşandina rastkirinê were eşkere kirin. Qelsî ji GitLab re hatin şandin wekî beşek ji bernameya xelata xizaniyê ya HackerOne.
Source: opennet.ru