Novae emendationes in suggestu ad progressionem collaborativam ordinandam editae sunt - GitLab 16.7.2, 16.6.4 et 16.5.6, quae duas vulnerabilitates criticas figunt. Prima vulnerabilitas (CVE-2023-7028), quae gradus severitatis maximae assignatur (10 ex 10), permittit te per manipulationem tesserae receptae formae oblitae alienam rationem arripere. Faciendi vulnerabilitas causatur per facultatem mittendi inscriptionem electronicam cum reset tesserae notae ad verificationem electronicae electronicae. Problema apparebat ex emissione GitLab 16.1.0, quae facultatem ad tesseram receptam mittendi in electronica inscriptio tergum sine verificatione induxit.
Ad reprimenda facta compromissi systematis, proponitur aestimare in gitlab-rails/production_json.log log coram petitionibus HTTP ad /users/password tracto indicans aciem plurium electronicarum in "params.value.email. β modularis. Etiam suadet ut reprimas introitus in gitlab-rails/audit_json.log log cum valore PasswordsController#creare in meta.caller.id et significans aciem plurium inscriptionum in scopulo_details. Oppugnatio perfici non potest si utens duos factores authenticas efficit.
Secunda passibilitas, CVE-2023-5356, adest in codice pro integratione cum remissa et remissa officia, et dat tibi mandata sub alio usuario exsequi propter defectum propriae auctoritatis reprehendo. Quaestio severitas gradus 9.6 e 10. assignatur novae versiones etiam minus periculosae (7.6 ex 10) passibilitatem (CVE-2023-4812) eliminare, quae te permittit approbationem CODEOWNERS praeterire, addendo mutationes ante probatas. merge petitionem.
Singula informationes de vulnerabilitates identificatae cogitavit detegi XXX dies post publicationem figere. vulnerabilitates GitLab submissae sunt sicut pars vulnerabilitas HackerOne largitionis progressionis.
Source: opennet.ru