Korrekturaktualisierungen für GitLab Collaborative Development Platform 15.3.1, 15.2.3 und 15.1.5 beheben eine kritische Schwachstelle (CVE-2022-2884), die es einem authentifizierten Benutzer mit Zugriff auf die GitHub-Import-API ermöglichen könnte, Code remote auf einem Server auszuführen . Einzelheiten zum Betrieb wurden noch nicht bekannt gegeben. Die Schwachstelle wurde von einem Sicherheitsforscher im Rahmen des Schwachstellen-Bounty-Programms von HackerOne identifiziert.
Um dieses Problem zu umgehen, wird dem Administrator empfohlen, die Importfunktion von GitHub zu deaktivieren (in der GitLab-Weboberfläche: „Menü“ -> „Admin“ -> „Einstellungen“ -> „Allgemein“ -> „Sichtbarkeits- und Zugriffskontrollen“ -> „Quellen importieren“ -> „GitHub“ deaktivieren).
Source: opennet.ru