Corrigerende updates voor het collaboratieve ontwikkelingsplatform GitLab 14.7.7, 14.8.5 en 14.9.2 elimineren een kritieke kwetsbaarheid (CVE-2022-1162) die verband houdt met het instellen van hardgecodeerde wachtwoorden voor accounts die zijn geregistreerd met behulp van de OmniAuth (OAuth) provider, LDAP en SAML) . Door de kwetsbaarheid kan een aanvaller mogelijk toegang krijgen tot het account. Alle gebruikers wordt geadviseerd de update onmiddellijk te installeren. Details over het probleem zijn nog niet bekendgemaakt. Gebruikers van wie de accounts door het probleem zijn getroffen, zijn gevraagd hun wachtwoord opnieuw in te stellen. Het probleem werd geïdentificeerd door GitLab-medewerkers en het onderzoek bracht geen sporen van gebruikerscompromis aan het licht.
De nieuwe versies elimineren ook nog eens 16 kwetsbaarheden, waarvan er 2 als gevaarlijk zijn gemarkeerd, 9 als matig en 5 als niet gevaarlijk. Gevaarlijke problemen zijn onder meer de mogelijkheid van HTML-injectie (XSS) in opmerkingen (CVE-2022-1175) en opmerkingen/beschrijvingen in kwestie (CVE-2022-1190).
Bron: opennet.ru