Критична уязвимост в GitLab

Коригиращите актуализации на платформата за съвместна разработка GitLab 15.3.1, 15.2.3 и 15.1.5 разрешават критична уязвимост (CVE-2022-2884), която може да позволи на удостоверен потребител с достъп до API за импортиране на GitHub да изпълни дистанционно код на сървър. Оперативните подробности все още не са дадени. Уязвимостта беше идентифицирана от изследовател по сигурността като част от програмата за награди за уязвимости на HackerOne.

Като заобиколно решение администраторът се съветва да деактивира функцията за импортиране от GitHub (в уеб интерфейса на GitLab: "Меню" -> "Администратор" -> "Настройки" -> "Общи" -> "Видимост и контроли за достъп" -> „Импортиране на източници“ -> деактивиране на „GitHub“).

Източник: opennet.ru