Korrektiewe opdaterings aan die GitLab-samewerkende ontwikkelingsplatform 15.3.1, 15.2.3 en 15.1.5 los 'n kritieke kwesbaarheid op (CVE-2022-2884) wat 'n geverifieerde gebruiker met toegang tot die API vir die invoer van data vanaf GitHub toelaat om kode op afstand uit te voer op die bediener. Operasionele besonderhede is nog nie verskaf nie. Die kwesbaarheid is deur 'n sekuriteitsnavorser geïdentifiseer as deel van HackerOne se vulnerability bounty-program.
As 'n oplossing word dit aanbeveel dat die administrateur die invoerfunksie vanaf GitHub deaktiveer (in die GitLab-webkoppelvlak: "Menu" -> "Admin" -> "Settings" -> "Algemeen" -> "Sigbaarheid en toegangskontroles" - > "Voer bronne in" -> deaktiveer "GitHub").
Bron: opennet.ru