GitLab 协作开发平台 15.3.1、15.2.3 和 15.1.5 的修正更新解决了一个严重漏洞 (CVE-2022-2884),该漏洞允许经过身份验证的用户访问用于从 GitHub 导入数据的 API,从而远程执行代码服务器。 尚未提供操作细节。 该漏洞由安全研究人员发现,属于 HackerOne 漏洞赏金计划的一部分。
作为解决方法,建议管理员禁用从 GitHub 导入功能(在 GitLab Web 界面中:“菜单”->“管理”->“设置”->“常规”->“可见性和访问控制”- >“导入源”->禁用“GitHub”)。
来源: opennet.ru