CVSS: 4.4EPSS: 0%CPEs: 6EXPL: 1CVE-2024-4201 – Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLab
https://notcve.org/view.php?id=CVE-2024-4201
A cross-site scripting issue has been discovered in GitLab affecting all versions starting from 5.1 before 16.10.7, all versions starting from 16.11 before 16.111.4, all versions starting from 17.0 before 17.0.2. When viewing an XML file in a repository in raw mode, it can be made to render as HTML if viewed under specific circumstances. Se descubrió un problema de cross-site scripting en GitLab que afecta a todas las versiones desde 5.1 anteriores a 16.10.7, todas las versiones desde 16.11 anteriores a 16.111.4, todas las versiones desde 17.0 anteriores a 17.0.2. Al visualizar un archivo XML en un repositorio en modo sin formato, se puede hacer que se represente como HTML si se ve en circunstancias específicas. • https://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/#xss-and-content-injection-when-viewing-raw-xhtml-files-on-ios-devices https://gitlab.com/gitlab-org/gitlab/-/issues/458229 https://hackerone.com/reports/2473886 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.0EPSS: 0%CPEs: 3EXPL: 1CVE-2024-5318 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-5318
An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.11 prior to 16.10.6, starting from 16.11 prior to 16.11.3, and starting from 17.0 prior to 17.0.1. A Guest user can view dependency lists of private projects through job artifacts. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 11.11 anterior a la 16.10.6, desde la 16.11 anterior a la 16.11.3 y desde la 17.0 anterior a la 17.0.1. Un usuario invitado puede ver listas de dependencias de proyectos privados a través de artefactos de trabajo. • https://gitlab.com/gitlab-org/gitlab/-/issues/427526 https://hackerone.com/reports/2189464 • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2023-6502 – Uncontrolled Resource Consumption in GitLab
https://notcve.org/view.php?id=CVE-2023-6502
A Denial of Service (DoS) condition has been discovered in GitLab CE/EE affecting all versions before 16.10.6, version 16.11 before 16.11.3, and 17.0 before 17.0.1. It is possible for an attacker to cause a denial of service using a crafted wiki page. Se descubrió una condición de denegación de servicio (DoS) en GitLab CE/EE que afecta a todas las versiones anteriores a 16.10.6, a la versión 16.11 anterior a 16.11.3 y a 17.0 anterior a 17.0.1. Es posible que un atacante provoque una denegación de servicio utilizando una página wiki manipulada. • https://gitlab.com/gitlab-org/gitlab/-/issues/433534 https://hackerone.com/reports/2263638 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 1CVE-2023-7045 – Cross-Site Request Forgery (CSRF) in GitLab
https://notcve.org/view.php?id=CVE-2023-7045
A CSRF vulnerability exists within GitLab CE/EE from versions 13.11 before 16.10.6, from 16.11 before 16.11.3, from 17.0 before 17.0.1. By leveraging this vulnerability, an attacker could exfiltrate anti-CSRF tokens via the Kubernetes Agent Server (KAS). Existe una vulnerabilidad CSRF en GitLab CE/EE desde las versiones 13.11 anteriores a 16.10.6, desde 16.11 anteriores a 16.11.3, desde 17.0 anteriores a 17.0.1. Al aprovechar esta vulnerabilidad, un atacante podría filtrar tokens anti-CSRF a través del servidor de agentes de Kubernetes (KAS). • https://gitlab.com/gitlab-org/gitlab/-/issues/436358 https://hackerone.com/reports/2286823 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2024-1947 – Uncontrolled Resource Consumption in GitLab
https://notcve.org/view.php?id=CVE-2024-1947
A denial of service (DoS) condition was discovered in GitLab CE/EE affecting all versions from 13.2.4 before 16.10.6, 16.11 before 16.11.3, and 17.0 before 17.0.1. By leveraging this vulnerability an attacker could create a DoS condition by sending crafted API calls. Se descubrió una condición de denegación de servicio (DoS) en GitLab CE/EE que afecta a todas las versiones desde 13.2.4 anterior a 16.10.6, 16.11 anterior a 16.11.3 y 17.0 anterior a 17.0.1. Al aprovechar esta vulnerabilidad, un atacante podría crear una condición DoS enviando llamadas API manipuladas. • https://gitlab.com/gitlab-org/gitlab/-/issues/443559 https://hackerone.com/reports/2380264 • CWE-400: Uncontrolled Resource Consumption •