協同開發平台 GitLab 16.8.1、16.7.4、16.6.6、16.5.8 版本發布修復更新,修復5個漏洞。其中一個問題 (CVE-2024-0402) 自 GitLab 16.0 發布以來就一直存在,並且已被指定為嚴重程度。此漏洞允許經過驗證的使用者將檔案寫入伺服器上的任何目錄,只要 GitLab Web 介面執行時的存取權限允許。
此漏洞是由於工作區創建功能實現中的錯誤導致的。在解析以不正確的 YAML 格式指定的 devfile 參數時會發生此錯誤(補丁程式透過將 YAML 轉換為 JSON 並檢查在 YAML 中正確但由於使用某些 Unicode 字元而在 JSON 中無效的構造來解決該問題)。有關該漏洞的詳細資訊計劃在修復發布 30 天後披露。該漏洞是 GitLab 的一名員工在內部審查期間發現的。
來源: opennet.ru
