Компания GitLab опубликовала очередную серию корректирующих обновлений своей платформы для организации совместной разработки – 15.3.2, 15.2.4 и 15.1.6, в которых устранена критическая уязвимость (CVE-2022-2992), позволяющая аутентифицированному пользователю удалённо выполнить код на сервере. Как и уязвимость CVE-2022-2884, исправленная неделю назад, новая проблема присутствует в API для импорта данных из сервиса GitHub. Уязвимость проявляется в том числе в выпусках 15.3.1, 15.2.3 и 15.1.5, в которых была исправлена первая уязвимость в коде импорта из GitHub.
Подробности эксплуатации пока не приводятся. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей, но в отличие от прошлой проблемы выявлена другим участником. В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: “Menu” -> “Admin” -> “Settings” -> “General” -> “Visibility and access controls” -> “Import sources” -> отключить “GitHub”).
Кроме того, в предложенных обновления исправлено ещё 14 уязвимостей, две из которых помечены как опасные, десяти присвоен средний уровень опасности, а две отмечены как неопасные. Опасными признаны: уязвимость CVE-2022-2865, позволяющая добавить свой JavaScript-код на показываемые другим пользователям страницы через манипуляцию с цветными метками, а также уязвимость CVE-2022-2527, дающая возможность подставить своё содержимое через поле с описанием в шкале инцидентов (Incidents Timeline). Уязвимости средней степени опасности в основном связаны с возможностью совершить отказ в обслуживании.