對協作開發平台GitLab 14.7.7、14.8.5 和14.9.2 的修正更新消除了與使用OmniAuth (OAuth) 提供者、LDAP 和SAML 註冊的帳戶設定硬編碼密碼相關的嚴重漏洞(CVE-2022-1162 ) 。 該漏洞可能允許攻擊者獲得對該帳戶的存取權限。 建議所有使用者立即安裝更新。 該問題的細節尚未披露。 帳戶受此問題影響的使用者已收到重設密碼的提示。 這個問題是由 GitLab 員工發現的,調查並未發現任何用戶妥協的痕跡。
新版本還消除了另外16個漏洞,其中2個被標記為危險,9個被標記為中等,5個被標記為不危險。 危險問題包括評論 (CVE-2022-1175) 和問題中的評論/描述 (CVE-2022-1190) 中可能存在 HTML 注入 (XSS)。
來源: opennet.ru