Критическая уязвимость в GitLab

В корректирующих обновлениях платформы для организации совместной разработки GitLab 15.3.1, 15.2.3 и 15.1.5 устранена критическая уязвимость (CVE-2022-2884), позволяющая аутентифицированному пользователю, имеющему доступ к API для импорта данных из GitHub, удалённо выполнить код на сервере. Подробности эксплуатации пока не приводятся. Уязвимость выявлена исследователем безопасности в рамках действующей на HackerOne программы выплаты вознаграждений за выявление уязвимостей.

В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: “Menu” -> “Admin” -> “Settings” -> “General” -> “Visibility and access controls” -> “Import sources” -> отключить “GitHub”).

Release. Ссылка here.