CVE-2024-4901 – Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLab
https://notcve.org/view.php?id=CVE-2024-4901
An issue was discovered in GitLab CE/EE affecting all versions starting from 16.9 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, where a stored XSS vulnerability could be imported from a project with malicious commit notes. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 16.9 anterior a la 16.11.5, desde la 17.0 anterior a la 17.0.3 y desde la 17.1 anterior a la 17.1.1, donde una vulnerabilidad de XSS almacenado se podía importar desde un proyecto con notas de confirmación maliciosas. • https://gitlab.com/gitlab-org/gitlab/-/issues/461773 https://hackerone.com/reports/2500163 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-5655 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-5655
An issue was discovered in GitLab CE/EE affecting all versions starting from 15.8 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which allows an attacker to trigger a pipeline as another user under certain circumstances. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.8 anterior a la 16.11.5, desde la 17.0 anterior a la 17.0.3 y desde la 17.1 anterior a la 17.1.1, lo que permite a un atacante activar una canalización como otro usuario en determinadas circunstancias. • https://github.com/VulnResearcher/CVE-2024-5655-Gitlab-CSRF-GraphQL https://gitlab.com/gitlab-org/gitlab/-/issues/465862 https://hackerone.com/reports/2536320 • CWE-284: Improper Access Control •
CVE-2024-5430 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-5430
An issue was discovered in GitLab CE/EE affecting all versions starting from 16.10 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which allows a project maintainer can delete the merge request approval policy via graphQL. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 16.10 anterior a la 16.11.5, desde la 17.0 anterior a la 17.0.3 y desde la 17.1 anterior a la 17.1.1, lo que permite que el mantenedor del proyecto pueda eliminar la política de aprobación de solicitud de fusión a través de GraphQL. • https://gitlab.com/gitlab-org/gitlab/-/issues/464017 https://hackerone.com/reports/2520947 • CWE-284: Improper Access Control •
CVE-2024-5469 – Uncontrolled Resource Consumption in GitLab
https://notcve.org/view.php?id=CVE-2024-5469
DoS in KAS in GitLab CE/EE affecting all versions from 16.10.0 prior to 16.10.6 and 16.11.0 prior to 16.11.3 allows an attacker to crash KAS via crafted gRPC requests. DoS en KAS en GitLab CE/EE que afecta a todas las versiones desde 16.10.0 anteriores a 16.10.6 y 16.11.0 anteriores a 16.11.3 permite a un atacante bloquear KAS mediante solicitudes gRPC manipuladas. • https://gitlab.com/gitlab-org/gitlab/-/issues/464143 • CWE-400: Uncontrolled Resource Consumption CWE-754: Improper Check for Unusual or Exceptional Conditions •
CVE-2024-1736 – Uncontrolled Resource Consumption in GitLab
https://notcve.org/view.php?id=CVE-2024-1736
An issue has been discovered in GitLab CE/EE affecting all versions prior to 16.10.7, starting from 16.11 prior to 16.11.4, and starting from 17.0 prior to 17.0.2. A vulnerability in GitLab's CI/CD pipeline editor could allow for denial of service attacks through maliciously crafted configuration files. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones anteriores a 16.10.7, desde 16.11 anterior a 16.11.4 y desde 17.0 anterior a 17.0.2. Una vulnerabilidad en el editor de canalización CI/CD de GitLab podría permitir ataques de denegación de servicio a través de archivos de configuración creados con fines malintencionados. • https://about.gitlab.com/releases/2024/06/12/patch-release-gitlab-17-0-2-released/#redos-in-ci-interpolation-fix-bypass https://gitlab.com/gitlab-org/gitlab/-/issues/442695 https://hackerone.com/reports/2358689 • CWE-400: Uncontrolled Resource Consumption CWE-1333: Inefficient Regular Expression Complexity •