GitLab发布了可能让攻击者劫持帐户的关键漏洞补丁

DevOps平台GitLab发布了软件更新，以解决一个关键的安全漏洞，如果该漏洞被潜在利用，可能会让对手夺取对帐户的控制权。

追踪为CVE-2022-1162，该问题的CVSS分数为9.1，据说是GitLab团队内部发现的。

“在GitLab CE/EE 14.7.7之前的版本14.7、14.8.5之前的版本14.8和14.9.2之前的版本14.9中，使用OmniAuth提供程序（例如OAuth、LDAP、SAML）注册的帐户设置了硬编码密码，允许攻击者潜在地接管帐户，”该公司在3月31日发布的一份公告中说。

GitLab也表示，出于谨慎起见，它采取了重置未指定数量用户密码的步骤。GitLab已在GitLab社区版（CE）和企业版（EE）的最新版本14.9.2、14.8.5和14.7.7中解决了该漏洞。

“我们的调查显示，没有迹象表明用户或账户遭到了破坏，”它补充道。

该公司还发布了一个脚本，自我管理实例的管理员可以运行该脚本来挑出可能受CVE-2022-1162影响的帐户。在识别出受影响的帐户后，已建议重置密码。

作为安全更新的一部分，GitLab还解决了两个高严重性存储跨站点脚本（XSS）漏洞（CVE-2022-1175和CVE-2022-1190），以及九个中等严重性缺陷和五个低严重性问题。

鉴于某些问题的严重性，强烈建议运行受影响安装的用户尽快升级到最新版本。