Poprawki dla platformy do wspólnego rozwoju GitLab 15.3.1, 15.2.3 i 15.1.5 naprawiają krytyczną lukę w zabezpieczeniach (CVE-2022-2884), która może umożliwić uwierzytelnionemu użytkownikowi z dostępem do interfejsu API importu GitHub zdalne wykonywanie kodu na serwerze. Szczegóły dotyczące wykorzystania luki nie są jeszcze dostępne. Luka została odkryta przez badacza bezpieczeństwa w ramach programu nagród za błędy HackerOne.
Jako obejście tego problemu zaleca się, aby administrator wyłączył funkcję importowania z GitHub (w interfejsie internetowym GitLab: „Menu” -> „Administrator” -> „Ustawienia” -> „Ogólne” -> „Widoczność i kontrola dostępu” -> „Importuj źródła” -> wyłącz „GitHub”).
Źródło: opennet.ru
