Atualizações corretivas para a plataforma de desenvolvimento colaborativo GitLab 15.3.1, 15.2.3 e 15.1.5 resolvem uma vulnerabilidade crítica (CVE-2022-2884) que permite que um usuário autenticado com acesso à API para importar dados do GitHub execute remotamente código em o servidor . Detalhes operacionais ainda não foram fornecidos. A vulnerabilidade foi identificada por um pesquisador de segurança como parte do programa de recompensas por vulnerabilidades do HackerOne.
Como solução alternativa, é recomendado que o administrador desabilite a função de importação do GitHub (na interface web do GitLab: “Menu” -> “Admin” -> “Configurações” -> “Geral” -> “Visibilidade e controles de acesso” - > “Importar fontes” -> desabilitar "GitHub").
Fonte: opennet.ru