انتقلت GitLab لمعالجة ثغرة أمنية خطيرة في خدمتها والتي ، إذا تم استغلالها بنجاح ، يمكن أن تؤدي إلى الاستيلاء على الحساب.

تم تتبع المشكلة كـ CVE-2022-1680 ، حيث حصلت المشكلة على درجة خطورة CVSS تبلغ 9.9 واكتشفتها الشركة داخليًا. يؤثر الخلل الأمني ​​على جميع إصدارات GitLab Enterprise Edition (EE) بدءًا من 11.10 قبل 14.9.5 ، وجميع الإصدارات بدءًا من 14.10 قبل 14.10.4 ، وجميع الإصدارات بدءًا من 15.0 قبل 15.0.1.

“عند تكوين SAML SSO للمجموعة ، قد تسمح ميزة SCIM (المتوفرة فقط في اشتراكات Premium +) لأي مالك لمجموعة Premium بدعوة مستخدمين عشوائيين من خلال اسم المستخدم والبريد الإلكتروني الخاص بهم ، ثم تغيير عناوين البريد الإلكتروني لهؤلاء المستخدمين عبر SCIM إلى بريد إلكتروني يتحكم فيه المهاجم العنوان وبالتالي – في حالة عدم وجود 2FA – استحوذ على هذه الحسابات “ .

بعد تحقيق ذلك ، يمكن للممثل الضار أيضًا تغيير اسم العرض واسم المستخدم للحساب المستهدف ، حذر مزود منصة DevOps في استشارته المنشورة في 1 يونيو 2022.

تم حلها أيضًا بواسطة GitLab في الإصدارات 15.0.1 و 14.10.4 و 14.9.5 وهي سبع ثغرات أمنية أخرى ، اثنتان منها مصنفتان على أنها عالية ، وأربعة متوسطة ، وواحدة منخفضة الخطورة.

يوصى المستخدمون الذين يقومون بتشغيل تثبيت متأثر للأخطاء المذكورة أعلاه بالترقية إلى أحدث إصدار في أسرع وقت ممكن.