Corrigerende updates voor het GitLab collaboratieve ontwikkelingsplatform 15.3.1, 15.2.3 en 15.1.5 lossen een kritieke kwetsbaarheid op (CVE-2022-2884) waardoor een geauthenticeerde gebruiker toegang heeft tot de API voor het importeren van gegevens uit GitHub om op afstand code uit te voeren de server . Operationele details zijn nog niet verstrekt. De kwetsbaarheid werd door een beveiligingsonderzoeker geïdentificeerd als onderdeel van het kwetsbaarheidsbountyprogramma van HackerOne.
Als tijdelijke oplossing wordt aanbevolen dat de beheerder de importfunctie van GitHub uitschakelt (in de GitLab-webinterface: "Menu" -> "Admin" -> "Instellingen" -> "Algemeen" -> "Zichtbaarheid en toegangscontrole" - > “Bronnen importeren” -> schakel “GitHub” uit.
Bron: opennet.ru