Ранливост во GitLab што ви овозможува да преземете сметки овластени преку OAuth, LDAP и SAML

Корективните ажурирања на платформата за колаборативен развој GitLab 14.7.7, 14.8.5 и 14.9.2 ја елиминираат критичната ранливост (CVE-2022-1162) поврзана со поставување на хардкодирани лозинки за сметки регистрирани со помош на давателот на OmniAuth (OAuth) и SAMLDAP, . . Ранливоста потенцијално му дозволува на напаѓачот да добие пристап до сметката. На сите корисници им се препорачува веднаш да го инсталираат ажурирањето. Детали за проблемот се уште не се откриени. Корисниците чии сметки беа погодени од проблемот добија барање да ги ресетираат своите лозинки. Проблемот беше идентификуван од вработените во GitLab и истрагата не откри никакви траги на компромис од корисниците.

Новите верзии елиминираат и уште 16 пропусти, од кои 2 се означени како опасни, 9 се умерени и 5 не се опасни. Опасните проблеми вклучуваат можност за инјектирање HTML (XSS) во коментарите (CVE-2022-1175) и коментари/описи во прашање (CVE-2022-1190).

Извор: opennet.ru