CVE-2024-6385 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-6385
An issue was discovered in GitLab CE/EE affecting all versions starting from 15.8 prior to 16.11.6, starting from 17.0 prior to 17.0.4, and starting from 17.1 prior to 17.1.2, which allows an attacker to trigger a pipeline as another user under certain circumstances. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.8 anterior a la 16.11.6, desde la 17.0 anterior a la 17.0.4 y desde la 17.1 anterior a la 17.1.2, lo que permite a un atacante activar una pipeline como otro usuario en determinadas circunstancias. • https://gitlab.com/gitlab-org/gitlab/-/issues/469217 https://hackerone.com/reports/2578672 • CWE-284: Improper Access Control •
CVE-2024-2177 – Improper Restriction of Rendered UI Layers or Frames in GitLab
https://notcve.org/view.php?id=CVE-2024-2177
A Cross Window Forgery vulnerability exists within GitLab CE/EE affecting all versions from 16.3 prior to 16.11.5, 17.0 prior to 17.0.3, and 17.1 prior to 17.1.1. This condition allows for an attacker to abuse the OAuth authentication flow via a crafted payload. Existe una vulnerabilidad de falsificación de ventanas cruzadas dentro de GitLab CE/EE que afecta a todas las versiones desde 16.3 anteriores a 16.11.5, 17.0 anteriores a 17.0.3 y 17.1 anteriores a 17.1.1. Esta condición permite que un atacante abuse del flujo de autenticación OAuth mediante un payload manipulado. • https://gitlab.com/gitlab-org/gitlab/-/issues/444467 https://hackerone.com/reports/2383443 • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •
CVE-2024-1493 – Uncontrolled Resource Consumption in GitLab
https://notcve.org/view.php?id=CVE-2024-1493
An issue was discovered in GitLab CE/EE affecting all versions starting from 9.2 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, with the processing logic for generating link in dependency files can lead to a regular expression DoS attack on the server Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 9.2 anterior a la 16.11.5, desde la 17.0 anterior a la 17.0.3 y desde la 17.1 anterior a la 17.1.1, con la lógica de procesamiento para generar enlaces en archivos de dependencia puede provocar un ataque DoS de expresión regular en el servidor • https://gitlab.com/gitlab-org/gitlab/-/issues/441806 https://hackerone.com/reports/2370084 • CWE-400: Uncontrolled Resource Consumption CWE-1333: Inefficient Regular Expression Complexity •
CVE-2024-1816 – Uncontrolled Resource Consumption in GitLab
https://notcve.org/view.php?id=CVE-2024-1816
An issue was discovered in GitLab CE/EE affecting all versions starting from 12.0 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which allows for an attacker to cause a denial of service using a crafted OpenAPI file. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde 12.0 anterior a 16.11.5, desde 17.0 anterior a 17.0.3 y desde 17.1 anterior a 17.1.1, lo que permite que un atacante provoque una denegación de servicio utilizando un archivo OpenAPI manipulado. • https://gitlab.com/gitlab-org/gitlab/-/issues/442852 https://hackerone.com/reports/2370737 • CWE-400: Uncontrolled Resource Consumption •
CVE-2024-2191 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-2191
An issue was discovered in GitLab CE/EE affecting all versions starting from 16.9 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which allows merge request title to be visible publicly despite being set as project members only. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 16.9 anterior a la 16.11.5, desde la 17.0 anterior a la 17.0.3 y desde la 17.1 anterior a la 17.1.1, lo que permite que el título de la solicitud de fusión sea visible públicamente a pesar de estar establecido solo para miembros del proyecto. • https://gitlab.com/gitlab-org/gitlab/-/issues/444655 https://hackerone.com/reports/2357370 • CWE-284: Improper Access Control •