GitLab har publisert den neste serien med korrigerende oppdateringer til sin plattform for å organisere samarbeidsutvikling - 15.3.2, 15.2.4 og 15.1.6, som eliminerer en kritisk sårbarhet (CVE-2022-2992) som lar en autentisert bruker eksternt kjøre kode på serveren. I likhet med CVE-2022-2884-sårbarheten, som ble fikset for en uke siden, er det et nytt problem i API-en for import av data fra GitHub-tjenesten. Sårbarheten dukker også opp i utgavene 15.3.1, 15.2.3 og 15.1.5, som fikset den første sårbarheten i importkoden fra GitHub.
Driftsdetaljer er ennå ikke gitt. Informasjon om sårbarheten ble sendt til GitLab som en del av HackerOnes sårbarhetspremieprogram, men i motsetning til det forrige problemet ble det identifisert av en annen deltaker. Som en løsning anbefales det at administratoren deaktiverer importfunksjonen fra GitHub (i GitLabs nettgrensesnitt: "Meny" -> "Admin" -> "Innstillinger" -> "Generelt" -> "Synlighet og tilgangskontroller" - > "Importer kilder" -> deaktiver "GitHub").
I tillegg fikser de foreslåtte oppdateringene 14 flere sårbarheter, hvorav to er merket som farlige, ti er tildelt et middels farenivå og to er merket som godartede. Følgende er anerkjent som farlige: sårbarhet CVE-2022-2865, som lar deg legge til din egen JavaScript-kode på sider som vises til andre brukere gjennom manipulering av fargeetiketter, samt sårbarhet CVE-2022-2527, som gjør det mulig å erstatte innholdet ditt gjennom beskrivelsesfeltet i Incidents scale Timeline). Sårbarheter med moderat alvorlighetsgrad er først og fremst knyttet til muligheten for tjenestenekt.
Kilde: opennet.ru