Las actualizaciones correctivas de la plataforma de desarrollo colaborativo GitLab 15.3.1, 15.2.3 y 15.1.5 resuelven una vulnerabilidad crítica (CVE-2022-2884) que permite a un usuario autenticado con acceso a la API para importar datos desde GitHub ejecutar código de forma remota en el servidor. Aún no se han proporcionado detalles operativos. La vulnerabilidad fue identificada por un investigador de seguridad como parte del programa de recompensas por vulnerabilidades de HackerOne.
Como solución alternativa, se recomienda que el administrador desactive la función de importación desde GitHub (en la interfaz web de GitLab: “Menú” -> “Admin” -> “Configuración” -> “General” -> “Controles de visibilidad y acceso” - > “Importar fuentes” -> desactivar "GitHub").
Fuente: opennet.ru