GitLab устранила критическую уязвимость, позволяющую взломать аккаунты

GitLab устранила критическую уязвимость, позволяющую взломать аккаунты

GitLab устранила критическую уязвимость, позволяющую взломать аккаунты

DevOps-платформа GitLab выпустила обновления софта, устраняющие критическую уязвимость, которая в случае успешной эксплуатации может позволить атакующим получить контроль над аккаунтами.

Проблема в безопасности отслеживается под идентификатором CVE-2022-1162, эксперты дали ей 9,1 балла по шкале CVSS. Брешь удалось обнаружить в ходе внутренней проверки командой GitLab.

«Для аккаунтов, зарегистрированных с помощью OmniAuth-провайдера (например, OAuth, LDAP, SAML), пароль устанавливался в жёстко запрограммированном виде, что позволяло получить контроль над затронутыми учётными записями. Уязвимости подвержены версии GitLab CE/EE 14.7 (до 14.7.7), 14,8 (до 14.8.5) и 14.9 (14.9.2)», — гласит официальное уведомление.

Представители GitLab также отметили, что им пришлось сбросить пароли ряда пользователей, чтобы предотвратить возможные киберинциденты. Внутреннее расследование показало отсутствие признаков компрометации аккаунтов.

 

Компания также опубликовала скрипт, который администраторы могут использовать для вычисления учётных записей, затронутых брешью CVE-2022-1162. Если такие аккаунты найдутся, администраторам следует сбросить их пароли, пишет команда GitLab.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Целевые атаки через драйверы Adreno: Qualcomm предупреждает и латает

Qualcomm выпустила заплатки для трёх уязвимостей нулевого дня в драйверах графического процессора Adreno. Эти уязвимости активно используют в целевых атаках, и под угрозой — десятки чипсетов.

Две из трёх уязвимостей (CVE-2025-21479 и CVE-2025-21480) были обнаружены ещё в январе благодаря команде Google Android Security.

Обе связаны с неправильной аутентификацией команд в графической подсистеме — при определённой последовательности команд это может привести к повреждению памяти.

Третья дыра (CVE-2025-27038), выявленная в марте, касается Chrome и связана с типичной ошибкой use-after-free — тоже чревата повреждением памяти при рендеринге.

По данным Google Threat Analysis Group, все три уязвимости уже используются в реальных атаках — правда, пока точечно и не массово. Qualcomm выпустила патчи в мае и настоятельно рекомендовала производителям устройств как можно быстрее установить обновления.

В этом же месяце компания устранила ещё одну уязвимость (CVE-2024-53026) — переполнение буфера в сетевом стеке, которое позволяло злоумышленнику получить доступ к закрытой информации, отправляя неправильные RTCP-пакеты во время звонков по VoLTE или VoWiFi.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru