GitLab telah menambal kerentanan kritis yang berarti kata sandi statis secara tidak sengaja ditetapkan selama pendaftaran berbasis OmniAuth – menempatkan akun pada risiko pengambilalihan berbahaya. bug skrip situs (XSS) sebagai bagian dari rilis keamanan bulanannya untuk bulan Maret. Pembaruan yang sama juga membahas sembilan masalah dengan tingkat keparahan sedang dan lima masalah berdampak rendah. Pengguna GitLab telah diminta untuk segera memperbarui instalasi mereka ke versi terbaru, yaitu 14.9.2, 14.8.5, dan 14.7.7 untuk Edisi Komunitas (CE ) dan Edisi Perusahaan (EE). GitLab.com sudah menjalankan versi yang ditambal. Masalah kredensial kritis Cacat kritis, yang dilacak sebagai CVE-2022-1162, melihat kata sandi hardcode yang disetel untuk akun yang terdaftar melalui penyedia OmniAuth. Mendapatkan skor CVSS 9,1, kerentanan memengaruhi GitLab CE dan Versi EE 14.7 hingga 14.7.7, 14.8 hingga 14.8.5, dan 14.9 hingga 14.9.2. Setelah menemukan bug secara internal, GitLab “melakukan reset password GitLab.com untuk sekelompok pengguna yang dipilih”, meskipun itu meyakinkan pengguna bahwa penyelidikannya menunjukkan “tidak ada indikasi bahwa pengguna atau akun telah disusupi”. Salah satu masalah XSS yang disimpan – CVE-2022-1175 – memungkinkan penyerang untuk menyuntikkan HTML dalam catatan karena “netralisasi input pengguna yang tidak tepat”. Kelemahan XSS lainnya (CVE-2022-1190), yang disalahkan pada penanganan input pengguna yang tidak tepat, memungkinkan penyalahgunaan referensi pencapaian multi-kata dalam deskripsi masalah, komentar, dan sejenisnya. Kedua kerentanan XSS mencatat skor CVSS 8,7. Versi yang terpengaruh adalah 14.7.7 kembali ke 14.4 untuk CVE-2022-1175 dan kembali ke 8.3 untuk CVE-2022-1190; dan semua versi 14.8 hingga 14.8.5 ditambah semua versi 14.9 hingga 14.9.2 untuk kedua CVEs. Kredit untuk temuan masing-masing karena `joaxcar` dan `ryhmnlfj`, peretas yang melaporkan bug melalui program hadiah bug HackerOne GitLab GitLab juga menandai pembaruan keamanan ke commonmarker, Mattermost, Swagger, go-proxyproto, dan Devise yang memengaruhi semua versi GitLab CE dan EE editions. Rilis keamanan untuk Grafana, sementara itu, memengaruhi semua versi GitLab Omnibus, sementara pembaruan Python memengaruhi semua versi GitLab Charts. DIREKOMENDASIKANpring4Shell: Pengguna musim semi menghadapi kerentanan baru, zero-day Referensi PortSwigger.com