对协作开发平台 GitLab 14.7.7、14.8.5 和 14.9.2 的修正更新消除了与使用 OmniAuth (OAuth) 提供商、LDAP 和 SAML 注册的帐户设置硬编码密码相关的严重漏洞 (CVE-2022-1162) 。 该漏洞可能允许攻击者获得对该帐户的访问权限。 建议所有用户立即安装更新。 该问题的细节尚未披露。 帐户受此问题影响的用户已收到重置密码的提示。 该问题是由 GitLab 员工发现的,调查并未发现任何用户妥协的痕迹。
新版本还消除了另外16个漏洞,其中2个被标记为危险,9个被标记为中等,5个被标记为不危险。 危险问题包括评论 (CVE-2022-1175) 和问题中的评论/描述 (CVE-2022-1190) 中可能存在 HTML 注入 (XSS)。
来源: opennet.ru