В корректирующих обновлениях платформы для организации совместной разработки GitLab 15.3.1, 15.2.3 и 15.1.5 устранена критическая уязвимость (CVE-2022-2884), позволяющая аутентифицированному пользователю, имеющему доступ к API для импорта данных из GitHub, удалённо выполнить код на сервере. Подробности эксплуатации пока не приводятся. Уязвимость выявлена исследователем безопасности в рамках действующей на HackerOne программы выплаты вознаграждений за выявление уязвимостей.

В качестве обходного пути администратору рекомендуется отключить функцию импорта из GitHub (в web-интерфейсе GitLab: «Menu» -› «Admin» -› «Settings» -› «General» -› «Visibility and access controls» -› «Import sources» -› отключить «GitHub»).

Источник: http://www.opennet.ru/opennews/art.shtml?num=57672