GitLab telah menerbitkan siri kemas kini pembetulan seterusnya pada platformnya untuk mengatur pembangunan kolaboratif - 15.3.2, 15.2.4 dan 15.1.6, yang menghapuskan kelemahan kritikal (CVE-2022-2992) yang membolehkan pengguna yang disahkan untuk melaksanakan kod dari jauh pada pelayan. Seperti kerentanan CVE-2022-2884, yang telah diperbaiki seminggu yang lalu, masalah baharu hadir dalam API untuk mengimport data daripada perkhidmatan GitHub. Kerentanan juga muncul dalam keluaran 15.3.1, 15.2.3 dan 15.1.5, yang membetulkan kelemahan pertama dalam kod import daripada GitHub.
Butiran operasi masih belum diberikan. Maklumat tentang kelemahan telah diserahkan kepada GitLab sebagai sebahagian daripada program karunia kerentanan HackerOne, tetapi tidak seperti masalah sebelumnya, ia telah dikenal pasti oleh peserta lain. Sebagai penyelesaian, adalah disyorkan bahawa pentadbir melumpuhkan fungsi import daripada GitHub (dalam antara muka web GitLab: “Menu” -> “Pentadbir” -> “Tetapan” -> “Umum” -> “Kawalan keterlihatan dan akses” - > “Import sumber” -> lumpuhkan "GitHub").
Di samping itu, kemas kini yang dicadangkan membetulkan 14 lagi kelemahan, dua daripadanya ditandakan sebagai berbahaya, sepuluh diberikan tahap bahaya sederhana dan dua ditandakan sebagai jinak. Perkara berikut diiktiraf sebagai berbahaya: kerentanan CVE-2022-2865, yang membolehkan anda menambah kod JavaScript anda sendiri pada halaman yang ditunjukkan kepada pengguna lain melalui manipulasi label warna, serta kerentanan CVE-2022-2527, yang memungkinkan untuk gantikan kandungan anda melalui medan penerangan dalam Garis Masa skala Insiden). Kelemahan keterukan sederhana terutamanya berkaitan dengan kemungkinan penafian perkhidmatan.
Sumber: opennet.ru