GitLab imechapisha mfululizo unaofuata wa masasisho ya kusahihisha kwenye jukwaa lake la kuandaa maendeleo shirikishi - 15.3.2, 15.2.4 na 15.1.6, ambayo huondoa hatari kubwa (CVE-2022-2992) ambayo inaruhusu mtumiaji aliyeidhinishwa kutekeleza msimbo kwa mbali. kwenye seva. Kama vile uwezekano wa CVE-2022-2884, ambao ulirekebishwa wiki moja iliyopita, tatizo jipya lipo kwenye API ya kuingiza data kutoka kwa huduma ya GitHub. Athari hii pia inaonekana katika matoleo 15.3.1, 15.2.3 na 15.1.5, ambayo yalirekebisha athari ya kwanza katika msimbo wa kuleta kutoka GitHub.
Maelezo ya uendeshaji bado hayajatolewa. Taarifa kuhusu uwezekano wa kuathirika ziliwasilishwa kwa GitLab kama sehemu ya mpango wa fadhila wa udhabiti wa HackerOne, lakini tofauti na tatizo la awali, ilitambuliwa na mshiriki mwingine. Kama suluhu, inapendekezwa kuwa msimamizi azime kipengele cha kuingiza kutoka GitHub (katika kiolesura cha wavuti cha GitLab: "Menyu" -> "Msimamizi" -> "Mipangilio" -> "Jumla" -> "Vidhibiti vya kuonekana na ufikiaji" - > "Vyanzo vya kuagiza" -> zima "GitHub").
Kwa kuongezea, masasisho yanayopendekezwa hurekebisha udhaifu mwingine 14, mbili kati yao zimewekwa alama kuwa hatari, kumi zimepewa kiwango cha wastani cha hatari, na mbili zimetiwa alama kuwa mbaya. Yafuatayo yanatambuliwa kuwa hatari: hatarishi: CVE-2022-2865, ambayo hukuruhusu kuongeza msimbo wako wa JavaScript kwenye kurasa zinazoonyeshwa kwa watumiaji wengine kupitia uboreshaji wa lebo za rangi, na vile vile kuathirika kwa CVE-2022-2527, ambayo huwezesha badilisha maudhui yako kupitia sehemu ya maelezo katika Rekodi ya Maeneo Uliyotembelea ya ukubwa wa Matukio). Athari za ukali wa wastani zinahusiana kimsingi na uwezekano wa kunyimwa huduma.
Chanzo: opennet.ru