GitLab je objavil naslednjo serijo korektivnih posodobitev svoje platforme za organizacijo skupnega razvoja - 15.3.2, 15.2.4 in 15.1.6, ki odpravljajo kritično ranljivost (CVE-2022-2992), ki preverjenemu uporabniku omogoča oddaljeno izvajanje kode. na strežniku. Tako kot ranljivost CVE-2022-2884, ki je bila odpravljena pred enim tednom, je nova težava prisotna v API-ju za uvoz podatkov iz storitve GitHub. Ranljivost se pojavlja tudi v izdajah 15.3.1, 15.2.3 in 15.1.5, ki so popravile prvo ranljivost v uvozni kodi iz GitHuba.
Operativne podrobnosti še niso bile posredovane. Informacije o ranljivosti so bile posredovane GitLabu kot del HackerOneovega programa za nagrado za ranljivost, vendar jo je za razliko od prejšnje težave identificiral drug udeleženec. Kot rešitev je priporočljivo, da skrbnik onemogoči uvozno funkcijo iz GitHub (v spletnem vmesniku GitLab: “Menu” -> “Admin” -> “Settings” -> “General” -> “Visibility and access controls” - > »Uvozi vire« -> onemogoči »GitHub«).
Poleg tega predlagane posodobitve odpravljajo še 14 ranljivosti, od katerih sta dve označeni kot nevarni, desetim je dodeljena srednja stopnja nevarnosti, dve pa sta označeni kot benigni. Kot nevarne so prepoznane naslednje: ranljivost CVE-2022-2865, ki omogoča dodajanje lastne kode JavaScript na strani, ki so prikazane drugim uporabnikom z manipulacijo barvnih oznak, kot tudi ranljivost CVE-2022-2527, ki omogoča zamenjajte svojo vsebino skozi polje za opis na časovni premici lestvice incidentov). Ranljivosti zmerne resnosti so predvsem povezane z možnostjo zavrnitve storitve.
Vir: opennet.ru