GitLab ka publikuar serinë e radhës të përditësimeve korrigjuese në platformën e tij për organizimin e zhvillimit bashkëpunues - 15.3.2, 15.2.4 dhe 15.1.6, të cilat eliminojnë një cenueshmëri kritike (CVE-2022-2992) që lejon një përdorues të vërtetuar të ekzekutojë kodin nga distanca në server. Ashtu si cenueshmëria CVE-2022-2884, e cila u rregullua një javë më parë, një problem i ri është i pranishëm në API për importimin e të dhënave nga shërbimi GitHub. Dobësia shfaqet gjithashtu në versionet 15.3.1, 15.2.3 dhe 15.1.5, të cilat rregulluan dobësinë e parë në kodin e importit nga GitHub.
Detajet operacionale nuk janë dhënë ende. Informacioni rreth dobësisë u dërgua në GitLab si pjesë e programit të shpërblimit të dobësisë së HackerOne, por ndryshe nga problemi i mëparshëm, ai u identifikua nga një pjesëmarrës tjetër. Si zgjidhje, rekomandohet që administratori të çaktivizojë funksionin e importimit nga GitHub (në ndërfaqen e internetit GitLab: "Menu" -> "Admin" -> "Cilësimet" -> "Të përgjithshme" -> "Kontrollet e dukshmërisë dhe aksesit" - > "Import burimet" -> çaktivizoni "GitHub").
Për më tepër, përditësimet e propozuara rregullojnë 14 dobësi të tjera, dy prej të cilave janë shënuar si të rrezikshme, dhjetë janë caktuar një nivel mesatar rreziku dhe dy janë shënuar si të mirë. Më poshtë njihen si të rrezikshme: cenueshmëria CVE-2022-2865, e cila ju lejon të shtoni kodin tuaj JavaScript në faqet e shfaqura për përdoruesit e tjerë nëpërmjet manipulimit të etiketave me ngjyra, si dhe cenueshmëria CVE-2022-2527, e cila bën të mundur zëvendësoni përmbajtjen tuaj përmes fushës së përshkrimit në Afatin kohor të shkallës së incidenteve). Dobësitë me ashpërsi të moderuar lidhen kryesisht me mundësinë e mohimit të shërbimit.
Burimi: opennet.ru