Përditësimet korrigjuese të platformës për organizimin e zhvillimit bashkëpunues janë publikuar - GitLab 16.7.2, 16.6.4 dhe 16.5.6, të cilat rregullojnë dy dobësi kritike. Dobësia e parë (CVE-2023-7028), të cilës i është caktuar niveli maksimal i ashpërsisë (10 nga 10), ju lejon të kapni llogarinë e dikujt tjetër përmes manipulimit të formularit të rikuperimit të fjalëkalimit të harruar. Dobësia është shkaktuar nga mundësia e dërgimit të një emaili me një kod të rivendosjes së fjalëkalimit në adresat e postës elektronike të paverifikuara. Problemi është shfaqur që nga lëshimi i GitLab 16.1.0, i cili prezantoi mundësinë për të dërguar një kod të rikuperimit të fjalëkalimit në një adresë emaili rezervë të paverifikuar.
Për të kontrolluar faktet e komprometimit të sistemeve, propozohet që në regjistrin gitlab-rails/production_json.log të vlerësohet prania e kërkesave HTTP në trajtuesin /users/password që tregon një grup prej disa emailesh në "params.value.email "parametri. Gjithashtu sugjerohet që të kontrolloni për hyrje në regjistrin gitlab-rails/audit_json.log me vlerën PasswordsController#create në meta.caller.id dhe duke treguar një grup me disa adresa në bllokun target_details. Sulmi nuk mund të përfundojë nëse përdoruesi mundëson vërtetimin me dy faktorë.
Dobësia e dytë, CVE-2023-5356, është e pranishme në kodin për integrimin me shërbimet Slack dhe Mattermost dhe ju lejon të ekzekutoni /-komandat nën një përdorues tjetër për shkak të mungesës së kontrollit të duhur të autorizimit. Problemit i është caktuar një nivel ashpërsie prej 9.6 nga 10. Versionet e reja eliminojnë gjithashtu një cenueshmëri më pak të rrezikshme (7.6 nga 10) (CVE-2023-4812), e cila ju lejon të anashkaloni miratimin e CODEOWNERS duke shtuar ndryshime në një të miratuar më parë kërkesë për bashkim.
Informacioni i detajuar në lidhje me dobësitë e identifikuara është planifikuar të zbulohet 30 ditë pas publikimit të rregullimit. Dobësitë u dorëzuan në GitLab si pjesë e programit të shpërblimit të cenueshmërisë së HackerOne.
Burimi: opennet.ru