Opravné aktualizácie platformy spoločného vývoja GitLab 14.7.7, 14.8.5 a 14.9.2 odstraňujú kritickú zraniteľnosť (CVE-2022-1162) spojenú s nastavením pevne zakódovaných hesiel pre účty registrované pomocou poskytovateľa OmniAuth (OAuth), LDAP a SAML) . Zraniteľnosť potenciálne umožňuje útočníkovi získať prístup k účtu. Všetkým používateľom sa odporúča, aby si aktualizáciu ihneď nainštalovali. Podrobnosti o probléme zatiaľ nezverejnili. Používatelia, ktorých účty boli ovplyvnené problémom, boli vyzvaní, aby obnovili svoje heslá. Problém identifikovali zamestnanci GitLab a vyšetrovanie neodhalilo žiadne stopy po kompromitácii používateľa.
Nové verzie tiež eliminujú 16 ďalších zraniteľností, z ktorých 2 sú označené ako nebezpečné, 9 stredne závažných a 5 nie je nebezpečných. Medzi nebezpečné problémy patrí možnosť vloženia HTML (XSS) do komentárov (CVE-2022-1175) a komentárov/popisov v čísle (CVE-2022-1190).
Zdroj: opennet.ru