GitLab نے باہمی تعاون سے متعلق ترقی کو منظم کرنے کے لیے اپنے پلیٹ فارم پر اصلاحی اپ ڈیٹس کی اگلی سیریز شائع کی ہے - 15.3.2، 15.2.4 اور 15.1.6، جو ایک اہم کمزوری (CVE-2022-2992) کو ختم کرتی ہے جو ایک مستند صارف کو دور سے کوڈ پر عمل کرنے کی اجازت دیتی ہے۔ سرور پر CVE-2022-2884 خطرے کی طرح، جسے ایک ہفتہ پہلے طے کیا گیا تھا، API میں GitHub سروس سے ڈیٹا درآمد کرنے کے لیے ایک نیا مسئلہ موجود ہے۔ کمزوری ریلیز 15.3.1، 15.2.3 اور 15.1.5 میں بھی ظاہر ہوتی ہے، جس نے GitHub سے درآمدی کوڈ میں پہلی کمزوری کو طے کیا۔
آپریشنل تفصیلات ابھی تک فراہم نہیں کی گئی ہیں۔ خطرے کے بارے میں معلومات GitLab کو HackerOne کے خطرے سے متعلق باؤنٹی پروگرام کے حصے کے طور پر جمع کرائی گئی تھی، لیکن پچھلے مسئلے کے برعکس، اس کی شناخت ایک اور شریک نے کی تھی۔ ایک حل کے طور پر، یہ تجویز کیا جاتا ہے کہ منتظم GitHub سے درآمدی فنکشن کو غیر فعال کر دے (GitLab ویب انٹرفیس میں: "Menu" -> "Admin" -> "Settings" -> "General" -> "visibility and access controls" - > "ذرائع درآمد کریں" -> "GitHub" کو غیر فعال کریں)۔
اس کے علاوہ، مجوزہ اپ ڈیٹس 14 مزید کمزوریوں کو ٹھیک کرتی ہیں، جن میں سے دو کو خطرناک کے طور پر نشان زد کیا گیا ہے، دس کو درمیانے درجے کا خطرہ دیا گیا ہے، اور دو کو بے نظیر کے طور پر نشان زد کیا گیا ہے۔ مندرجہ ذیل کو خطرناک کے طور پر پہچانا جاتا ہے: کمزوری CVE-2022-2865، جو آپ کو رنگین لیبلز کی ہیرا پھیری کے ذریعے دوسرے صارفین کو دکھائے جانے والے صفحات میں اپنا اپنا جاوا اسکرپٹ کوڈ شامل کرنے کی اجازت دیتا ہے، نیز کمزوری CVE-2022-2527، جو اسے ممکن بناتا ہے۔ واقعات اسکیل ٹائم لائن میں تفصیل والے فیلڈ کے ذریعے اپنے مواد کو تبدیل کریں)۔ اعتدال پسند شدت کے خطرات بنیادی طور پر سروس کے انکار کے امکان سے متعلق ہیں۔
ماخذ: opennet.ru