GitLab 協作開發平台15.3.1、15.2.3 和15.1.5 的修正更新解決了一個嚴重漏洞(CVE-2022-2884),該漏洞允許經過身份驗證的用戶訪問用於從GitHub 導入資料的API,從而遠端執行程式碼伺服器。 尚未提供操作細節。 該漏洞由安全研究人員發現,屬於 HackerOne 漏洞賞金計畫的一部分。
作為解決方法,建議管理員停用從 GitHub 導入功能(在 GitLab Web 介面中:「選單」->「管理」->「設定」->「常規」->「可見性和存取控制」- >「匯入來源”->停用“GitHub”)。
來源: opennet.ru