GitLab a publicat următoarea serie de actualizări corective pentru platforma sa de dezvoltare colaborativă - 15.3.2, 15.2.4 și 15.1.6, care remediază o vulnerabilitate critică (CVE-2022-2992) care permite unui utilizator autentificat să execute cod de la distanță pe un Server. La fel ca și vulnerabilitatea CVE-2022-2884 care a fost remediată în urmă cu o săptămână, există o nouă problemă în API-ul pentru importarea datelor din serviciul GitHub. Vulnerabilitatea se manifestă, printre altele, în versiunile 15.3.1, 15.2.3 și 15.1.5, în care a fost remediată prima vulnerabilitate din codul de import din GitHub.
Detaliile de operare nu au fost date încă. Vulnerabilitatea a fost trimisă la GitLab ca parte a programului de recompensă pentru vulnerabilități al HackerOne, dar, spre deosebire de ediția anterioară, a fost identificată de un alt colaborator. Ca o soluție, administratorul este sfătuit să dezactiveze importul din caracteristica GitHub (în interfața web GitLab: „Meniu” -> „Admin” -> „Setări” -> „General” -> „Controale de vizibilitate și acces” -> „Importați surse” -> dezactivați „GitHub”).
În plus, în actualizările propuse sunt remediate încă 14 vulnerabilități, dintre care două sunt marcate ca periculoase, zece li se atribuie un nivel de severitate mediu și două sunt marcate ca nepericuloase. Următoarele sunt recunoscute ca periculoase: vulnerabilitatea CVE-2022-2865, care vă permite să adăugați propriul cod JavaScript la paginile afișate altor utilizatori prin manipularea etichetelor de culoare, precum și vulnerabilitatea CVE-2022-2527, care face este posibil să vă înlocuiți conținutul prin câmpul de descriere din cronologia scalei Incidente). Vulnerabilitățile de severitate medie sunt legate în principal de posibilitatea de refuzare a serviciului.
Sursa: opennet.ru