GitLab ti ṣe atẹjade atẹle atẹle ti awọn imudojuiwọn atunṣe si pẹpẹ rẹ fun siseto idagbasoke ifowosowopo - 15.3.2, 15.2.4 ati 15.1.6, eyiti o yọkuro ailagbara pataki kan (CVE-2022-2992) ti o fun laaye olumulo ti o ni ifọwọsi lati ṣiṣẹ koodu latọna jijin. lori olupin. Bii ailagbara CVE-2022-2884, eyiti o wa titi ni ọsẹ kan sẹhin, iṣoro tuntun wa ninu API fun gbigbe data wọle lati iṣẹ GitHub. Ailagbara naa tun han ni awọn idasilẹ 15.3.1, 15.2.3 ati 15.1.5, eyiti o ṣeto ailagbara akọkọ ni koodu agbewọle lati GitHub.
Awọn alaye iṣẹ ko tii pese. Alaye nipa ailagbara ni a fi silẹ si GitLab gẹgẹbi apakan ti eto ẹbun ailagbara HackerOne, ṣugbọn ko dabi iṣoro iṣaaju, o jẹ idanimọ nipasẹ alabaṣe miiran. Gẹgẹbi iṣẹ-ṣiṣe, o gba ọ niyanju pe olutọju naa mu iṣẹ agbewọle wọle lati GitHub (ni wiwo oju opo wẹẹbu GitLab: “Akojọ aṣyn” -> “Abojuto” -> “Eto” -> “Gbogbogbo” -> “Hihan ati awọn iṣakoso iwọle” - > "Awọn orisun wọle" -> mu "GitHub" ṣiṣẹ.
Ni afikun, awọn imudojuiwọn ti a dabaa ṣe atunṣe awọn ailagbara 14 diẹ sii, meji ninu eyiti a samisi bi eewu, mẹwa ti a sọtọ ni ipele alabọde ti ewu, ati meji ti samisi bi ko dara. Awọn atẹle wọnyi ni a mọ bi eewu: ailagbara CVE-2022-2865, eyiti o fun ọ laaye lati ṣafikun koodu JavaScript tirẹ si awọn oju-iwe ti o han si awọn olumulo miiran nipasẹ ifọwọyi ti awọn aami awọ, ati ailagbara CVE-2022-2527, eyiti o jẹ ki o ṣee ṣe lati paarọ akoonu rẹ nipasẹ aaye apejuwe ni Ago Ago Awọn iṣẹlẹ). Awọn ailagbara iwọntunwọnsi jẹ ibatan akọkọ si iṣeeṣe kiko iṣẹ.
orisun: opennet.ru