Awọn imudojuiwọn atunṣe si Syeed idagbasoke ifowosowopo GitLab 14.7.7, 14.8.5 ati 14.9.2 imukuro ailagbara pataki kan (CVE-2022-1162) ti o ni nkan ṣe pẹlu ṣeto awọn ọrọ igbaniwọle lile fun awọn akọọlẹ ti o forukọsilẹ nipa lilo olupese OmniAuth (OAuth) , LDAP ati SAML) . Ailagbara naa ngbanilaaye ikọlu lati ni iraye si akọọlẹ naa. Gbogbo awọn olumulo ni imọran lati fi imudojuiwọn naa sori ẹrọ lẹsẹkẹsẹ. Awọn alaye ti iṣoro naa ko tii ṣe afihan. Awọn olumulo ti ọrọ naa kan awọn akọọlẹ wọn ti jẹ ki wọn tun awọn ọrọ igbaniwọle wọn pada. Iṣoro naa jẹ idanimọ nipasẹ awọn oṣiṣẹ GitLab ati pe iwadii ko ṣe afihan eyikeyi awọn itọpa ti adehun olumulo.
Awọn ẹya tuntun tun yọkuro awọn ailagbara 16 diẹ sii, eyiti 2 ti samisi bi eewu, 9 jẹ iwọntunwọnsi ati 5 ko lewu. Awọn ọran ti o lewu pẹlu iṣeeṣe ti abẹrẹ HTML (XSS) ninu awọn asọye (CVE-2022-1175) ati awọn asọye / awọn apejuwe ninu ọran (CVE-2022-1190).
orisun: opennet.ru