GitLab zverejnil ďalšiu sériu opravných aktualizácií svojej platformy na organizovanie kolaboratívneho vývoja – 15.3.2, 15.2.4 a 15.1.6, ktoré eliminujú kritickú zraniteľnosť (CVE-2022-2992), ktorá umožňuje overenému používateľovi vzdialene spúšťať kód. na serveri. Rovnako ako chyba zabezpečenia CVE-2022-2884, ktorá bola opravená pred týždňom, nový problém je prítomný v rozhraní API na import údajov zo služby GitHub. Zraniteľnosť sa objavuje aj vo vydaniach 15.3.1, 15.2.3 a 15.1.5, ktoré opravili prvú zraniteľnosť v importnom kóde z GitHub.
Prevádzkové podrobnosti zatiaľ neboli poskytnuté. Informácie o zraniteľnosti boli odoslané do GitLab v rámci bounty programu HackerOne za zraniteľnosť, no na rozdiel od predchádzajúceho problému ju identifikoval iný účastník. Ako riešenie sa odporúča, aby správca zakázal funkciu importu z GitHubu (vo webovom rozhraní GitLab: „Menu“ -> „Správca“ -> „Nastavenia“ -> „Všeobecné“ -> „Ovládanie viditeľnosti a prístupu“ - > „Importovať zdroje“ -> zakázať „GitHub“).
Okrem toho navrhované aktualizácie opravujú 14 ďalších zraniteľností, z ktorých dve sú označené ako nebezpečné, desiatim je priradený stredný stupeň nebezpečenstva a dve sú označené ako neškodné. Nasledujúce sa považujú za nebezpečné: zraniteľnosť CVE-2022-2865, ktorá vám umožňuje pridať vlastný kód JavaScript na stránky zobrazené iným používateľom manipuláciou s farebnými štítkami, ako aj zraniteľnosť CVE-2022-2527, ktorá umožňuje nahraďte svoj obsah prostredníctvom poľa popisu na časovej osi škály incidentov). Stredne závažné zraniteľnosti súvisia predovšetkým s možnosťou odmietnutia služby.
Zdroj: opennet.ru