La plataforma DevOps GitLab ha lanzado actualizaciones de software para abordar una vulnerabilidad de seguridad crítica que, si se explota potencialmente, podría permitir que un adversario tome el control de las cuentas.
rastreado como CVE-2022-1162el problema tiene una puntuación CVSS de 9,1 y se dice que el equipo de GitLab lo descubrió internamente.
“Se estableció una contraseña codificada para las cuentas registradas mediante un proveedor OmniAuth (por ejemplo, OAuth, LDAP, SAML) en las versiones 14.7 de GitLab CE/EE anteriores a la 14.7.7, 14.8 anteriores a la 14.8.5 y 14.9 anteriores a la 14.9.2, lo que permite a los atacantes apoderarse potencialmente de las cuentas. dijo en un aviso publicado el 31 de marzo.
GitLab, que solucionó el problema con la última versión de las versiones 14.9.2, 14.8.5 y 14.7.7 para GitLab Community Edition (CE) y Enterprise Edition (EE), también dijo que tomó la medida de restablecer la contraseña de un número no especificado de usuarios por precaución.
“Nuestra investigación no muestra indicios de que los usuarios o las cuentas se hayan visto comprometidos”, agregó.
La empresa también ha publicó un guión que los administradores de instancias autoadministradas pueden ejecutar para identificar cuentas potencialmente afectadas por CVE-2022-1162. Después de identificar las cuentas afectadas, se recomienda restablecer la contraseña.
GitLab también abordó como parte de la actualización de seguridad dos errores de secuencias de comandos entre sitios almacenados (XSS) de alta gravedad (CVE-2022-1175 y CVE-2022-1190), así como nueve fallas de gravedad media y cinco problemas que son calificada como baja en severidad.
En vista de la criticidad de algunos de los problemas, se recomienda encarecidamente a los usuarios que ejecutan instalaciones afectadas que actualicen a la última versión lo antes posible.