GitLab ได้เผยแพร่ชุดการอัปเดตการแก้ไขถัดไปสำหรับแพลตฟอร์มสำหรับการจัดการการพัฒนาร่วมกัน - 15.3.2, 15.2.4 และ 15.1.6 ซึ่งกำจัดช่องโหว่ที่สำคัญ (CVE-2022-2992) ที่อนุญาตให้ผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถรันโค้ดจากระยะไกล บนเซิร์ฟเวอร์ เช่นเดียวกับช่องโหว่ CVE-2022-2884 ซึ่งได้รับการแก้ไขเมื่อสัปดาห์ที่แล้ว มีปัญหาใหม่ใน API สำหรับการนำเข้าข้อมูลจากบริการ GitHub ช่องโหว่นี้ยังปรากฏในรุ่น 15.3.1, 15.2.3 และ 15.1.5 ซึ่งแก้ไขช่องโหว่แรกในโค้ดนำเข้าจาก GitHub
ยังไม่ได้ระบุรายละเอียดการดำเนินงาน ข้อมูลเกี่ยวกับช่องโหว่ถูกส่งไปยัง GitLab โดยเป็นส่วนหนึ่งของโปรแกรมรางวัลช่องโหว่ของ HackerOne แต่ไม่เหมือนกับปัญหาก่อนหน้านี้ มันถูกระบุโดยผู้เข้าร่วมรายอื่น วิธีแก้ปัญหา ขอแนะนำให้ผู้ดูแลระบบปิดการใช้งานฟังก์ชันนำเข้าจาก GitHub (ในเว็บอินเตอร์เฟส GitLab: “เมนู” -> “ผู้ดูแลระบบ” -> “การตั้งค่า” -> “ทั่วไป” -> “การควบคุมการมองเห็นและการเข้าถึง” - > “นำเข้าแหล่งที่มา” -> ปิดการใช้งาน "GitHub")
นอกจากนี้ การอัปเดตที่เสนอจะแก้ไขช่องโหว่เพิ่มเติมอีก 14 รายการ โดยสองรายการถูกทำเครื่องหมายว่าเป็นอันตราย สิบรายการได้รับมอบหมายให้อยู่ในระดับอันตรายปานกลาง และอีกสองรายการถูกทำเครื่องหมายว่าไม่เป็นพิษเป็นภัย สิ่งต่อไปนี้ได้รับการยอมรับว่าเป็นอันตราย: ช่องโหว่ CVE-2022-2865 ซึ่งช่วยให้คุณสามารถเพิ่มโค้ด JavaScript ของคุณเองลงในหน้าเว็บที่แสดงต่อผู้ใช้รายอื่นผ่านการดัดแปลงป้ายกำกับสี เช่นเดียวกับช่องโหว่ CVE-2022-2527 ซึ่งทำให้สามารถ แทนที่เนื้อหาของคุณผ่านช่องคำอธิบายในไทม์ไลน์มาตราส่วนเหตุการณ์) ช่องโหว่ระดับความรุนแรงปานกลางมีความเกี่ยวข้องกับความเป็นไปได้ในการปฏิเสธการให้บริการเป็นหลัก
ที่มา: opennet.ru