Các bản cập nhật khắc phục cho nền tảng phát triển cộng tác GitLab 14.7.7, 14.8.5 và 14.9.2 loại bỏ lỗ hổng nghiêm trọng (CVE-2022-1162) liên quan đến việc đặt mật khẩu mã hóa cứng cho các tài khoản đã đăng ký bằng nhà cung cấp OmniAuth (OAuth), LDAP và SAML) . Lỗ hổng này có khả năng cho phép kẻ tấn công giành được quyền truy cập vào tài khoản. Tất cả người dùng nên cài đặt bản cập nhật ngay lập tức. Chi tiết của vấn đề vẫn chưa được tiết lộ. Người dùng có tài khoản bị ảnh hưởng bởi sự cố này đã được nhắc đặt lại mật khẩu của họ. Vấn đề đã được nhân viên GitLab xác định và cuộc điều tra không tiết lộ bất kỳ dấu vết nào về sự xâm phạm của người dùng.
Các phiên bản mới còn loại bỏ thêm 16 lỗ hổng, trong đó có 2 lỗ hổng được đánh giá là nguy hiểm, 9 lỗ hổng ở mức trung bình và 5 lỗ hổng không nguy hiểm. Các vấn đề nguy hiểm bao gồm khả năng chèn HTML (XSS) vào nhận xét (CVE-2022-1175) và nhận xét/mô tả đang được đề cập (CVE-2022-1190).
Nguồn: opennet.ru