Корективна ажурирања платформе за колаборативни развој ГитЛаб 14.8.2, 14.7.4 и 14.6.5 елиминишу критичну рањивост (ЦВЕ-2022-0735) која омогућава неовлашћеном кориснику да извуче регистрационе токене у ГитЛаб Руннер-у, који се користи за руковаоце позива при изградњи кода пројекта у систему континуиране интеграције. Детаљи још нису дати, само да је проблем узрокован цурењем информација при коришћењу команди брзих радњи.
Проблем је идентификовало особље ГитЛаб-а и утиче на верзије 12.10 до 14.6.5, 14.7 до 14.7.4 и 14.8 до 14.8.2. Корисницима који одржавају прилагођене ГитЛаб инсталације се саветује да инсталирају ажурирање или примене закрпу што је пре могуће. Проблем је решен ограничавањем приступа командама брзих радњи само на кориснике са дозволом за писање. Након инсталирања ажурирања или појединачних закрпа „токен-префик“, регистрациони токени у Руннер-у који су претходно креирани за групе и пројекте биће ресетовани и поново генерисани.
Поред критичне рањивости, нове верзије такође елиминишу 6 мање опасних рањивости које могу да доведу до тога да непривилеговани корисник додаје друге кориснике у групе, дезинформације корисника кроз манипулацију садржајем Сниппетс-а, цурење варијабли окружења кроз метод испоруке сендмаила, одређивање присуства корисника преко ГрапхКЛ АПИ-ја, цурење лозинки при пресликавању спремишта преко ССХ у пулл моду, ДоС напад преко система за подношење коментара.
Извор: опеннет.ру