Gli aggiornamenti correttivi alla piattaforma di sviluppo collaborativo GitLab 15.3.1, 15.2.3 e 15.1.5 risolvono una vulnerabilità critica (CVE-2022-2884) che consente a un utente autenticato con accesso all'API per importare dati da GitHub di eseguire in remoto codice su il server . I dettagli operativi non sono stati ancora forniti. La vulnerabilità è stata identificata da un ricercatore di sicurezza come parte del programma di ricompensa delle vulnerabilità di HackerOne.
Come soluzione alternativa, si consiglia all'amministratore di disabilitare la funzione di importazione da GitHub (nell'interfaccia web di GitLab: “Menu” -> “Amministratore” -> “Impostazioni” -> “Generale” -> “Visibilità e controlli di accesso” - > “Importa sorgenti” -> disabilita "GitHub").
Fonte: opennet.ru