GitLab parantos nyebarkeun séri apdet koréksi salajengna kana platformna pikeun ngatur pangwangunan kolaborasi - 15.3.2, 15.2.4 sareng 15.1.6, anu ngaleungitkeun kerentanan kritis (CVE-2022-2992) anu ngamungkinkeun pangguna anu dioténtikasi jarak jauh ngaéksekusi kode. dina server. Kawas kerentanan CVE-2022-2884, anu dibenerkeun saminggu katukang, aya masalah anyar dina API pikeun ngimpor data tina jasa GitHub. Kerentanan ogé muncul dina sékrési 15.3.1, 15.2.3 sareng 15.1.5, anu ngalereskeun kerentanan munggaran dina kode impor ti GitHub.
Rincian operasional henteu acan disayogikeun. Inpormasi ngeunaan kerentanan dikintunkeun ka GitLab salaku bagian tina program karunia kerentanan HackerOne, tapi teu sapertos masalah sateuacana, éta diidentifikasi ku pamilon anu sanés. Salaku workaround, disarankeun yén administrator nganonaktipkeun fungsi impor tina GitHub (dina antarmuka wéb GitLab: "Menu" -> "Admin" -> "Setélan" -> "Umum" -> "Visibilitas sareng kontrol aksés" - > "Impor sumber" -> nonaktipkeun "GitHub").
Salaku tambahan, pembaruan anu diusulkeun ngalereskeun 14 langkung kerentanan, dua ditandaan bahaya, sapuluh ditugaskeun tingkat bahaya sedeng, sareng dua ditandaan salaku benign. Di handap ieu dipikawanoh salaku bahaya: kerentanan CVE-2022-2865, nu ngidinan Anjeun pikeun nambahkeun kode JavaScript sorangan ka kaca ditémbongkeun ka pamaké séjén ngaliwatan manipulasi labél warna, kitu ogé kerentanan CVE-2022-2527, nu ngamungkinkeun pikeun ngagantikeun eusi anjeun ngaliwatan widang déskripsi dina Timeline skala Kajadian). Kerentanan severity sedeng utamina aya hubunganana sareng kamungkinan panolakan jasa.
sumber: opennet.ru