A GitLab 15.3.1-es, 15.2.3-as és 15.1.5-ös együttműködési fejlesztési platformjának korrekciós frissítései feloldanak egy kritikus biztonsági rést (CVE-2022-2884), amely lehetővé teszi az API-hoz hozzáféréssel rendelkező hitelesített felhasználó számára, hogy adatokat importálhasson a GitHubból, hogy távolról futtathassa a kódot a szervert. A működési részleteket még nem közölték. A sebezhetőséget egy biztonsági kutató azonosította a HackerOne sebezhetőségi jutalomprogramjának részeként.
Megkerülő megoldásként azt javasoljuk, hogy az adminisztrátor tiltsa le az importálási funkciót a GitHubból (a GitLab webes felületén: „Menü” -> „Adminisztráció” -> „Beállítások” -> „Általános” -> „Láthatóság és hozzáférés vezérlése” - > "Források importálása" -> tiltsa le a "GitHub" lehetőséget).
Forrás: opennet.ru