GitLab 发布了其组织协作开发平台的下一系列修正更新 - 15.3.2、15.2.4 和 15.1.6,消除了一个允许经过身份验证的用户远程执行代码的严重漏洞 (CVE-2022-2992)在服务器上。 与一周前修复的 CVE-2022-2884 漏洞一样,从 GitHub 服务导入数据的 API 中也出现了新问题。 该漏洞还出现在版本 15.3.1、15.2.3 和 15.1.5 中,修复了来自 GitHub 的导入代码中的第一个漏洞。
尚未提供操作细节。 有关该漏洞的信息已作为 HackerOne 漏洞赏金计划的一部分提交给 GitLab,但与之前的问题不同的是,它是由另一位参与者识别的。 作为解决方法,建议管理员禁用从 GitHub 导入功能(在 GitLab Web 界面中:“菜单”->“管理”->“设置”->“常规”->“可见性和访问控制”- >“导入源”->禁用“GitHub”)。
此外,提议的更新还修复了另外 14 个漏洞,其中两个被标记为危险,十个被指定为中等危险级别,两个被标记为良性。 以下漏洞被认为是危险的:漏洞 CVE-2022-2865,它允许您通过操纵颜色标签将自己的 JavaScript 代码添加到向其他用户显示的页面,以及漏洞 CVE-2022-2527,这使得您可以通过事件规模时间线中的描述字段替换您的内容)。 中等严重性漏洞主要与拒绝服务的可能性有关。
来源: opennet.ru