การอัปเดตแก้ไขสำหรับแพลตฟอร์มการพัฒนาการทำงานร่วมกัน GitLab 14.7.7, 14.8.5 และ 14.9.2 กำจัดช่องโหว่ที่สำคัญ (CVE-2022-1162) ที่เกี่ยวข้องกับการตั้งค่ารหัสผ่านแบบฮาร์ดโค้ดสำหรับบัญชีที่ลงทะเบียนโดยใช้ผู้ให้บริการ OmniAuth (OAuth), LDAP และ SAML) . ช่องโหว่อาจทำให้ผู้โจมตีสามารถเข้าถึงบัญชีได้ ผู้ใช้ทุกคนควรติดตั้งการอัปเดตทันที รายละเอียดของปัญหายังไม่ได้รับการเปิดเผย ผู้ใช้ที่บัญชีได้รับผลกระทบจากปัญหานี้ได้รับแจ้งให้รีเซ็ตรหัสผ่าน ปัญหาถูกระบุโดยพนักงาน GitLab และการสอบสวนไม่ได้เปิดเผยร่องรอยของการประนีประนอมของผู้ใช้
เวอร์ชันใหม่ยังกำจัดช่องโหว่อีก 16 รายการ โดย 2 รายการถูกระบุว่าเป็นอันตราย 9 รายการอยู่ในระดับปานกลาง และ 5 รายการไม่เป็นอันตราย ปัญหาที่เป็นอันตราย ได้แก่ ความเป็นไปได้ของการฉีด HTML (XSS) ในความคิดเห็น (CVE-2022-1175) และความคิดเห็น/คำอธิบายในปัญหา (CVE-2022-1190)
ที่มา: opennet.ru