Les mises à jour correctives de la plateforme de développement collaboratif GitLab 15.3.1, 15.2.3 et 15.1.5 résolvent une vulnérabilité critique (CVE-2022-2884) qui permet à un utilisateur authentifié ayant accès à l'API d'importation de données depuis GitHub d'exécuter du code à distance sur le serveur. Les détails opérationnels n’ont pas encore été fournis. La vulnérabilité a été identifiée par un chercheur en sécurité dans le cadre du programme de primes de vulnérabilité de HackerOne.
Pour contourner le problème, il est recommandé à l'administrateur de désactiver la fonction d'importation depuis GitHub (dans l'interface web de GitLab : « Menu » -> « Admin » -> « Paramètres » -> « Général » -> « Visibilité et contrôles d'accès » - > « Importer des sources » -> désactiver « GitHub »).
Source: opennet.ru