GitLab 15.3.1-, 15.2.3- ja 15.1.5-korjaukset yhteistyökehitysalustalle korjaavat kriittisen haavoittuvuuden (CVE-2022-2884), joka voi antaa todennetulle käyttäjälle, jolla on pääsy GitHubin tietojen tuonti-API:in, mahdollisuuden suorittaa koodia etänä palvelimella. Hyödyntämistietoja ei ole vielä saatavilla. Haavoittuvuuden löysi tietoturvatutkija HackerOnen haavoittuvuuspalkkio-ohjelman kautta.
Kiertotapana on suositeltavaa, että järjestelmänvalvoja poistaa käytöstä GitHubista tuontitoiminnon (GitLabin verkkokäyttöliittymässä: ”Valikko” -> ”Järjestelmänvalvoja” -> ”Asetukset” -> ”Yleiset” -> ”Näkyvyys- ja käyttöoikeusrajoitukset” -> ”Tuontilähteet” -> ”GitHub” käytöstä).
Lähde: opennet.ru
