Opravné aktualizácie platformy spoločného vývoja GitLab 15.3.1, 15.2.3 a 15.1.5 riešia kritickú zraniteľnosť (CVE-2022-2884), ktorá umožňuje overenému používateľovi s prístupom k API na import údajov z GitHubu vzdialene spúšťať kód na server . Prevádzkové podrobnosti zatiaľ neboli poskytnuté. Zraniteľnosť bola identifikovaná bezpečnostným výskumníkom ako súčasť programu odmeny za zraniteľnosť spoločnosti HackerOne.
Ako riešenie sa odporúča, aby správca zakázal funkciu importu z GitHubu (vo webovom rozhraní GitLab: „Menu“ -> „Správca“ -> „Nastavenia“ -> „Všeobecné“ -> „Ovládanie viditeľnosti a prístupu“ - > „Importovať zdroje“ -> zakázať „GitHub“).
Zdroj: opennet.ru