GitLab 發布了其組織協作開發平台的下一系列修正更新 - 15.3.2、15.2.4 和 15.1.6,消除了一個允許經過身份驗證的用戶遠端執行程式碼的嚴重漏洞 (CVE-2022-2992)在伺服器上。 與一週前修復的 CVE-2022-2884 漏洞一樣,從 GitHub 服務匯入資料的 API 中也出現了新問題。 該漏洞也出現在版本 15.3.1、15.2.3 和 15.1.5 中,修復了來自 GitHub 的導入程式碼中的第一個漏洞。
尚未提供操作細節。 有關該漏洞的資訊已作為 HackerOne 漏洞賞金計劃的一部分提交給 GitLab,但與先前的問題不同的是,它是由另一位參與者識別的。 作為解決方法,建議管理員停用從 GitHub 導入功能(在 GitLab Web 介面中:「選單」->「管理」->「設定」->「常規」->「可見性和存取控制」- >「匯入來源”->停用“GitHub”)。
此外,提議的更新還修復了另外 14 個漏洞,其中兩個被標記為危險,十個被指定為中等危險級別,兩個被標記為良性。 以下漏洞被認為是危險的:漏洞 CVE-2022-2865,它允許您透過操縱顏色標籤將自己的 JavaScript 程式碼新增至向其他使用者顯示的頁面,以及漏洞 CVE-2022-2527,這使得您可以透過事件規模時間軸中的描述欄位替換您的內容)。 中等嚴重性漏洞主要與拒絕服務的可能性有關。
來源: opennet.ru