Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML

Ответить на тему

Автор

Сообщение

news_bot ^®

Стаж: 6 лет 2 месяца
Сообщений: 27286

news_bot ^® написал(а)
01-Апр-2022 10:30

Цитировать

В корректирующих обновлениях платформы для организации совместной разработки GitLab 14.7.7, 14.8.5 и 14.9.2 устранена критическая уязвимость (CVE-2022-1162), связанная с установкой предопределённых (hardcoded) паролей для учётных записей, зарегистрированных с использованием провайдера OmniAuth (OAuth, LDAP и SAML). Уязвимость потенциально позволяет атакующему получить доступ к учётной записи. Всем пользователям рекомендуется срочно установить обновление. Детали проблему пока не раскрываются. Для пользователей, чьи учётные записи были подвержены проблеме, инициирован сброс установленных паролей. Проблема выявлена сотрудниками GitLab и проведённое расследование не выявило следов компрометации пользователей.
В новых версиях также устранено ещё 16 уязвимостей, из которых 2 помечены как опасные, 9 - умеренные и 5 неопасные. Среди опасных проблем - возможность подстановки HTML-кода (XSS) в примечания (CVE-2022-1175) и комментарии/описания в issue (CVE-2022-1190).
===========
Источник:
OpenNet.RU
===========

Уязвимость в GitLab, позволяющая захватить аккаунты, авторизированные через OAuth, LDAP и SAML

Похожие новости