В корректирующих обновлениях платформы для организации совместной разработки GitLab 15.3.1, 15.2.3 и 15.1.5 устранена критическая уязвимость (CVE-2022-2884), позволяющая аутентифицированному пользователю, имеющему доступ к API для импорта данных из GitHub, удалённо выполнить код на сервере. Подробности эксплуатации пока не приводятся. Уязвимость выявлена исследователем безопасности в рамках действующей на HackerOne программы выплаты вознаграждений за выявление уязвимостей.
В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: «Menu» -> «Admin» -> «Settings» -> «General» -> «Visibility and access controls» -> «Import sources» -> отключить «GitHub»).
isi: opennet.ru