Përditësimet korrigjuese në platformën e zhvillimit bashkëpunues GitLab 14.8.2, 14.7.4 dhe 14.6.5 eliminojnë një cenueshmëri kritike (CVE-2022-0735) që lejon një përdorues të paautorizuar të nxjerrë argumentet e regjistrimit në GitLab Runner, i cili përdoret për të thirrur mbajtësit kur ndërtohet kodi i projektit në një sistem integrimi të vazhdueshëm. Detajet nuk janë dhënë ende, vetëm se problemi është shkaktuar nga rrjedhja e informacionit gjatë përdorimit të komandave të Veprimeve të Shpejta.
Problemi u identifikua nga stafi i GitLab dhe prek versionet 12.10 deri në 14.6.5, 14.7 deri në 14.7.4 dhe 14.8 deri në 14.8.2. Përdoruesit që mbajnë instalime të personalizuara të GitLab këshillohen të instalojnë përditësimin ose të aplikojnë patch-in sa më shpejt të jetë e mundur. Problemi u zgjidh duke kufizuar aksesin në komandat e Veprimeve të Shpejta vetëm për përdoruesit me leje shkrimi. Pas instalimit të përditësimit ose arnimeve individuale "token-prefix", argumentet e regjistrimit në Runner të krijuara më parë për grupe dhe projekte do të rivendosen dhe rigjenerohen.
Përveç cenueshmërisë kritike, versionet e reja eliminojnë gjithashtu 6 dobësi më pak të rrezikshme që mund të çojnë në shtimin e përdoruesve të tjerë në grupe nga një përdorues i paprivilegjuar, keqinformim të përdoruesve përmes manipulimit të përmbajtjes së Snippets, rrjedhje të variablave të mjedisit përmes metodës së dërgimit të postës elektronike, përcaktimi i pranisë së përdoruesve përmes GraphQL API, rrjedhja e fjalëkalimeve gjatë pasqyrimit të depove përmes SSH në modalitetin tërheqës, sulmi DoS përmes sistemit të paraqitjes së komenteve.
Burimi: opennet.ru