В представленном 22 мая выпуске платформы для организации совместной разработки GitLab 16.0 выявлена критическая уязвимость (CVE-2023-2825), позволяющая неаутентифицированному пользователю получить содержимое любого файла на сервере, насколько это позволяют права доступа процесса, обрабатывающего запросы. Уязвимости присвоен наивысший уровень опасности (10 из 10). Проблема устранена в обновлении GitLab 16.0.1 и затрагивает только ветку 16.0. Информация об уязвимости передана в GitLab в рамках действующей на HackerOne программы выплаты вознаграждений за обнаружение уязвимостей.
Подробности эксплуатации пока не приводятся, их обещают опубликовать через 30 дней после исправления. Известно лишь, то, что уязвимость вызвана ошибкой проверки файловых путей, позволяющей выйти за пределы базового каталога и прочитать содержимое произвольных файлов при наличии вложения в публичном проекте, входящем как минимум в 5 групп.
Из новых возможностей ветки GitLab 16 можно отметить панель Value Streams для отслеживания изменения метрик, связанных с распространением проекта, частотой внедрения, выявлением проблем и временем их исправления. Также добавлена поддержка шаблонов комментариев, появилась кнопка для обновления форка репозитория через перенос изменений из основного проекта, реализован API для обновления токенов, добавлена возможность определения фильтров при импорте репозиториев с GitHub, обеспечена возможность вставки emoji-реакций в задачи, интегрирована функциональность для назначения отдельного поддомена для каждого проекта GitLab Pages, добавлена поддержка аутентификации с использованием персональных токенов Jira. Расширены возможности Web IDE, связанные с поддержкой удалённых рабочих пространств и выводом рекомендаций при написании кода.