GitLab heeft de volgende reeks corrigerende updates gepubliceerd op zijn platform voor het organiseren van gezamenlijke ontwikkeling - 15.3.2, 15.2.4 en 15.1.6, die een kritieke kwetsbaarheid (CVE-2022-2992) elimineren waarmee een geauthenticeerde gebruiker op afstand code kan uitvoeren op de server. Net als de CVE-2022-2884-kwetsbaarheid, die een week geleden werd verholpen, is er een nieuw probleem aanwezig in de API voor het importeren van gegevens uit de GitHub-service. De kwetsbaarheid komt ook voor in releases 15.3.1, 15.2.3 en 15.1.5, waarmee de eerste kwetsbaarheid in de importcode uit GitHub werd opgelost.
Operationele details zijn nog niet verstrekt. Informatie over de kwetsbaarheid werd naar GitLab verzonden als onderdeel van HackerOne's bountyprogramma voor kwetsbaarheden, maar in tegenstelling tot het vorige probleem werd het door een andere deelnemer geïdentificeerd. Als tijdelijke oplossing wordt aanbevolen dat de beheerder de importfunctie van GitHub uitschakelt (in de GitLab-webinterface: "Menu" -> "Admin" -> "Instellingen" -> "Algemeen" -> "Zichtbaarheid en toegangscontrole" - > “Bronnen importeren” -> schakel “GitHub” uit.
Bovendien verhelpen de voorgestelde updates nog eens veertien kwetsbaarheden, waarvan er twee als gevaarlijk zijn gemarkeerd, tien als gemiddeld gevaar zijn aangemerkt en twee als goedaardig zijn gemarkeerd. Het volgende wordt als gevaarlijk herkend: kwetsbaarheid CVE-14-2022, waarmee u uw eigen JavaScript-code kunt toevoegen aan pagina's die aan andere gebruikers worden getoond door middel van manipulatie van kleurlabels, evenals kwetsbaarheid CVE-2865-2022, die het mogelijk maakt om vervang uw inhoud door het beschrijvingsveld in de tijdlijn van de incidentenschaal). Kwetsbaarheden met een gemiddelde ernst houden voornamelijk verband met de mogelijkheid van denial-of-service.
Bron: opennet.ru