انتقلت GitLab لمعالجة ثغرة أمنية خطيرة في خدمتها والتي، إذا تم استغلالها بنجاح، يمكن أن تؤدي إلى الاستيلاء على الحساب.
تم تتبع المشكلة كـ CVE-2022-1680، حيث حصلت المشكلة على درجة خطورة CVSS تبلغ 9.9 واكتشفتها الشركة داخليًا. يؤثر الخلل الأمني على جميع إصدارات GitLab Enterprise Edition (EE) بدءًا من 11.10 قبل 14.9.5، وجميع الإصدارات بدءًا من 14.10 قبل 14.10.4، وجميع الإصدارات بدءًا من 15.0 قبل 15.0.1.
"عند تكوين SAML SSO للمجموعة، قد تسمح ميزة SCIM (المتوفرة فقط في اشتراكات Premium +) لأي مالك لمجموعة Premium بدعوة مستخدمين عشوائيين من خلال اسم المستخدم والبريد الإلكتروني الخاص بهم، ثم تغيير عناوين البريد الإلكتروني لهؤلاء المستخدمين عبر SCIM إلى بريد إلكتروني يتحكم فيه المهاجم"
بعد تحقيق ذلك، يمكن للممثل الضار أيضًا تغيير اسم العرض واسم المستخدم للحساب المستهدف.
تم حلها أيضًا بواسطة GitLab في الإصدارات 15.0.1 و 14.10.4 و 14.9.5 وهي سبع ثغرات أمنية أخرى، اثنتان منها مصنفتان على أنها عالية ، وأربعة متوسطة ، وواحدة منخفضة الخطورة.
يوصى المستخدمون الذين يقومون بتشغيل الاصدارات المتأثر بالثغرات المذكورة أعلاه، بالترقية إلى أحدث إصدار في أسرع وقت ممكن.
