GitLab har gitt ut den nyeste serien med oppdateringer for sin samarbeidsplattform for utvikling – versjon 15.3.2, 15.2.4 og 15.1.6 – som adresserer en kritisk sårbarhet (CVE-2022-2992) som kan tillate en autentisert bruker å kjøre kode eksternt på serveren. I likhet med CVE-2022-2884, som ble oppdatert for en uke siden, påvirker dette nye problemet API-et for import av data fra GitHub. Sårbarheten påvirker også versjon 15.3.1, 15.2.3 og 15.1.5, som rettet den opprinnelige sårbarheten i GitHub-importkoden.
Detaljer om sårbarheten er ikke tilgjengelige ennå. Informasjon om sårbarheten ble rapportert til GitLab gjennom HackerOne bug bounty-programmet, men i motsetning til det forrige problemet ble det oppdaget av en annen deltaker. Som en midlertidig løsning anbefales administratorer å deaktivere importfunksjonen for GitHub (i GitLab-nettgrensesnittet: "Meny" -> "Admin" -> "Innstillinger" -> "Generelt" -> "Synlighet og tilgangskontroller" -> "Importer kilder" -> deaktiver "GitHub").
I tillegg fikser de foreslåtte oppdateringene 14 flere sårbarheter, hvorav to er merket som alvorlige, ti er tildelt et middels alvorlighetsnivå, og to er merket som ikke-alvorlige. Følgende sårbarheter anses som alvorlige: sårbarhet CVE-2022-2865, som lar brukere sette inn tilpasset JavaScript-kode på sider som vises til andre brukere ved å manipulere fargeetiketter, og sårbarhet CVE-2022-2527, som lar brukere sette inn tilpasset innhold i beskrivelsesfeltet i hendelsestidslinjen. Sårbarheter med middels alvorlighetsgrad involverer primært tjenestenekt.
Kilde: opennet.ru
