GitLab силсилаи навбатии навсозиҳои ислоҳиро дар платформаи худ барои ташкили рушди муштарак нашр кард - 15.3.2, 15.2.4 ва 15.1.6, ки осебпазирии муҳимро (CVE-2022-2992) бартараф мекунад, ки ба корбари тасдиқшуда имкон медиҳад, ки кодро фосилаи дур иҷро кунад. дар сервер. Мисли осебпазирии CVE-2022-2884, ки як ҳафта пеш ислоҳ шуда буд, дар API мушкилоти нав барои воридоти маълумот аз хидмати GitHub мавҷуд аст. Ин осебпазирӣ инчунин дар версияҳои 15.3.1, 15.2.3 ва 15.1.5 пайдо мешавад, ки осебпазирии аввалинро дар коди воридотӣ аз GitHub ислоҳ кардааст.
Тафсилоти амалиёт то ҳол дода нашудааст. Маълумот дар бораи осебпазирӣ ба GitLab ҳамчун як қисми барномаи мукофотпулии осебпазирии HackerOne пешниҳод карда шуд, аммо бар хилофи мушкилоти қаблӣ, он аз ҷониби иштирокчии дигар муайян карда шуд. Ҳамчун як роҳи ҳал, тавсия дода мешавад, ки администратор функсияи воридотро аз GitHub хомӯш кунад (дар интерфейси веби GitLab: "Меню" -> "Админ" -> "Танзимот" -> "Умумӣ" -> "Назорати намоён ва дастрасӣ" - > "Манбаъҳои воридотӣ" -> хомӯш кардани "GitHub").
Илова бар ин, навсозиҳои пешниҳодшуда боз 14 осебпазирии дигарро ислоҳ мекунанд, ки дутои онҳо хатарнок, даҳтои онҳо дараҷаи миёнаи хатар ва дутои онҳо осебпазир мебошанд. Инҳо хатарнок дониста мешаванд: осебпазирии CVE-2022-2865, ки ба шумо имкон медиҳад, ки коди JavaScript-и худро ба саҳифаҳое, ки бо истифода аз тамғакоғазҳои рангӣ ба корбарони дигар нишон дода шудаанд, илова кунед, инчунин осебпазирии CVE-2022-2527, ки имкон медиҳад мундариҷаи худро тавассути майдони тавсиф дар ҷадвали ҷадвали ҳодисаҳо иваз кунед). Осебҳои шадиди миёна пеш аз ҳама ба эҳтимолияти рад кардани хидмат алоқаманданд.
Манбаъ: opennet.ru