Ang mga corrective update sa collaborative development platform na GitLab 14.7.7, 14.8.5 at 14.9.2 ay nag-aalis ng kritikal na kahinaan (CVE-2022-1162) na nauugnay sa pagtatakda ng mga hardcoded na password para sa mga account na nakarehistro gamit ang OmniAuth (OAuth) provider , LDAP at SAML) . Ang kahinaan ay potensyal na nagbibigay-daan sa isang umaatake na makakuha ng access sa account. Ang lahat ng mga gumagamit ay pinapayuhan na i-install kaagad ang update. Ang mga detalye ng problema ay hindi pa ibinunyag. Para sa mga user na ang mga account ay naapektuhan ng problema, ang pag-reset ng kanilang mga password ay sinimulan. Ang problema ay natukoy ng mga empleyado ng GitLab at ang pagsisiyasat ay hindi nagpahayag ng anumang mga bakas ng kompromiso ng user.
Ang mga bagong bersyon ay nag-aalis din ng 16 pang kahinaan, kung saan 2 ay minarkahan bilang mapanganib, 9 ay katamtaman at 5 ay hindi mapanganib. Kabilang sa mga mapanganib na isyu ang posibilidad ng HTML injection (XSS) sa mga komento (CVE-2022-1175) at mga komento/paglalarawan sa mga isyu (CVE-2022-1190).
Pinagmulan: opennet.ru