Awọn imudojuiwọn atunṣe si pẹpẹ fun siseto idagbasoke ifowosowopo ni a ti tẹjade - GitLab 16.7.2, 16.6.4 ati 16.5.6, eyiti o ṣatunṣe awọn ailagbara pataki meji. Ailagbara akọkọ (CVE-2023-7028), eyiti o yan ipele ti o pọju (10 ninu 10), gba ọ laaye lati gba akọọlẹ ẹnikan nipasẹ ifọwọyi fọọmu igbapada igbaniwọle igbagbe. Ailagbara naa ṣẹlẹ nipasẹ iṣeeṣe ti fifiranṣẹ imeeli pẹlu koodu atunto ọrọ igbaniwọle si awọn adirẹsi imeeli ti ko rii daju. Iṣoro naa ti n farahan lati itusilẹ ti GitLab 16.1.0, eyiti o ṣafihan agbara lati fi koodu imularada ọrọ igbaniwọle ranṣẹ si adirẹsi imeeli afẹyinti ti ko jẹrisi.
Lati ṣayẹwo awọn otitọ ti ifarakanra ti awọn eto, o ni imọran lati ṣe iṣiro ninu gitlab-rails/production_json.log wọle niwaju awọn ibeere HTTP si /users/olumulo ọrọ igbaniwọle ti n tọka ọpọlọpọ awọn imeeli pupọ ninu “params.value.email ” paramita. O tun daba lati ṣayẹwo fun awọn titẹ sii ni gitlab-rails/audit_json.log log pẹlu iye Awọn ỌrọigbaniwọleController#ṣẹda ni meta.caller.id ati afihan ọpọlọpọ awọn adirẹsi ni ibi-afẹde_details block. Ikọlu naa ko le pari ti olumulo ba jẹ ki ijẹrisi ifosiwewe meji ṣiṣẹ.
Ailagbara keji, CVE-2023-5356, wa ninu koodu fun isọpọ pẹlu awọn iṣẹ Slack ati Mattermost, ati pe o fun ọ laaye lati ṣiṣẹ / -awọn aṣẹ labẹ olumulo miiran nitori aini ayẹwo aṣẹ to dara. Oro naa ni a yan ipele ti o buruju ti 9.6 ninu 10. Awọn ẹya tuntun tun yọkuro ewu ti o kere ju (7.6 ninu 10) ailagbara (CVE-2023-4812), eyiti o fun ọ laaye lati fori ifọwọsi CODEOWNERS nipa fifi awọn ayipada kun si ti a fọwọsi tẹlẹ ìbéèrè àkópọ.
Alaye alaye nipa awọn ailagbara ti a mọ ni a gbero lati ṣafihan ni ọjọ 30 lẹhin titẹjade atunṣe naa. Awọn ailagbara naa ni a fi silẹ si GitLab gẹgẹbi apakan ti eto ẹbun ailagbara HackerOne.
orisun: opennet.ru