CVE-2024-2880 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-2880
An issue was discovered in GitLab CE/EE affecting all versions starting from 16.5 prior to 16.11.6, starting from 17.0 prior to 17.0.4, and starting from 17.1 prior to 17.1.2 in which a user with `admin_group_member` custom role permission could ban group members. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde 16.5 anterior a 16.11.6, desde 17.0 anterior a 17.0.4 y desde 17.1 anterior a 17.1.2 en el que un usuario con permiso de rol personalizado `admin_group_member` podría banear a los miembros del grupo. • https://gitlab.com/gitlab-org/gitlab/-/issues/451921 https://hackerone.com/reports/2431597 • CWE-284: Improper Access Control •
CVE-2024-5257 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-5257
An issue was discovered in GitLab CE/EE affecting all versions starting from 17.0 prior to 17.0.4 and from 17.1 prior to 17.1.2 where a Developer user with `admin_compliance_framework` custom role may have been able to modify the URL for a group namespace. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 17.0 anterior a la 17.0.4 y desde la 17.1 anterior a la 17.1.2, donde un usuario desarrollador con el rol personalizado `admin_compliance_framework` pudo haber podido modificar la URL de un espacio de nombres de grupo. . • https://gitlab.com/gitlab-org/gitlab/-/issues/463149 https://hackerone.com/reports/2513934 • CWE-284: Improper Access Control •
CVE-2024-5470 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-5470
An issue was discovered in GitLab CE/EE affecting all versions starting from 17.0 prior to 17.0.4 and from 17.1 prior to 17.1.2 where a Guest user with `admin_push_rules` permission may have been able to create project-level deploy tokens. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde 17.0 anterior a 17.0.4 y desde 17.1 anterior a 17.1.2 donde un usuario invitado con permiso `admin_push_rules` puede haber podido crear tokens de implementación a nivel de proyecto. • https://gitlab.com/gitlab-org/gitlab/-/issues/464312 https://hackerone.com/reports/2521480 • CWE-284: Improper Access Control •
CVE-2024-6385 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-6385
An issue was discovered in GitLab CE/EE affecting all versions starting from 15.8 prior to 16.11.6, starting from 17.0 prior to 17.0.4, and starting from 17.1 prior to 17.1.2, which allows an attacker to trigger a pipeline as another user under certain circumstances. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.8 anterior a la 16.11.6, desde la 17.0 anterior a la 17.0.4 y desde la 17.1 anterior a la 17.1.2, lo que permite a un atacante activar una pipeline como otro usuario en determinadas circunstancias. • https://gitlab.com/gitlab-org/gitlab/-/issues/469217 https://hackerone.com/reports/2578672 • CWE-284: Improper Access Control •
CVE-2024-2177 – Improper Restriction of Rendered UI Layers or Frames in GitLab
https://notcve.org/view.php?id=CVE-2024-2177
A Cross Window Forgery vulnerability exists within GitLab CE/EE affecting all versions from 16.3 prior to 16.11.5, 17.0 prior to 17.0.3, and 17.1 prior to 17.1.1. This condition allows for an attacker to abuse the OAuth authentication flow via a crafted payload. Existe una vulnerabilidad de falsificación de ventanas cruzadas dentro de GitLab CE/EE que afecta a todas las versiones desde 16.3 anteriores a 16.11.5, 17.0 anteriores a 17.0.3 y 17.1 anteriores a 17.1.1. Esta condición permite que un atacante abuse del flujo de autenticación OAuth mediante un payload manipulado. • https://gitlab.com/gitlab-org/gitlab/-/issues/444467 https://hackerone.com/reports/2383443 • CWE-1021: Improper Restriction of Rendered UI Layers or Frames •