Aktualizacje korygujące platformy współpracy programistycznej GitLab 14.7.7, 14.8.5 i 14.9.2 eliminują krytyczną lukę (CVE-2022-1162) związaną z ustawianiem zakodowanych na stałe haseł dla kont zarejestrowanych przy użyciu dostawcy OmniAuth (OAuth), LDAP i SAML) . Luka potencjalnie umożliwia osobie atakującej uzyskanie dostępu do konta. Wszystkim użytkownikom zaleca się natychmiastowe zainstalowanie aktualizacji. Szczegóły problemu nie zostały jeszcze ujawnione. Użytkownicy, których konta dotyczył ten problem, zostali poproszeni o zresetowanie haseł. Problem został zidentyfikowany przez pracowników GitLab, a dochodzenie nie ujawniło żadnych śladów włamań użytkowników.
Nowe wersje eliminują także 16 kolejnych luk, z czego 2 są oznaczone jako niebezpieczne, 9 są umiarkowane, a 5 nie są niebezpieczne. Niebezpieczne problemy obejmują możliwość wstrzyknięcia HTML (XSS) w komentarzach (CVE-2022-1175) i komentarzach/opisach, których dotyczy problem (CVE-2022-1190).
Źródło: opennet.ru