CVE-2024-5318 – Missing Authorization in GitLab
https://notcve.org/view.php?id=CVE-2024-5318
An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.11 prior to 16.10.6, starting from 16.11 prior to 16.11.3, and starting from 17.0 prior to 17.0.1. A Guest user can view dependency lists of private projects through job artifacts. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 11.11 anterior a la 16.10.6, desde la 16.11 anterior a la 16.11.3 y desde la 17.0 anterior a la 17.0.1. Un usuario invitado puede ver listas de dependencias de proyectos privados a través de artefactos de trabajo. • https://gitlab.com/gitlab-org/gitlab/-/issues/427526 https://hackerone.com/reports/2189464 • CWE-284: Improper Access Control CWE-862: Missing Authorization •
CVE-2023-6502 – Inefficient Regular Expression Complexity in GitLab
https://notcve.org/view.php?id=CVE-2023-6502
A Denial of Service (DoS) condition has been discovered in GitLab CE/EE affecting all versions before 16.10.6, version 16.11 before 16.11.3, and 17.0 before 17.0.1. It is possible for an attacker to cause a denial of service using a crafted wiki page. Se descubrió una condición de denegación de servicio (DoS) en GitLab CE/EE que afecta a todas las versiones anteriores a 16.10.6, a la versión 16.11 anterior a 16.11.3 y a 17.0 anterior a 17.0.1. Es posible que un atacante provoque una denegación de servicio utilizando una página wiki manipulada. • https://gitlab.com/gitlab-org/gitlab/-/issues/433534 https://hackerone.com/reports/2263638 • CWE-400: Uncontrolled Resource Consumption CWE-1333: Inefficient Regular Expression Complexity •
CVE-2023-7045 – Cross-Site Request Forgery (CSRF) in GitLab
https://notcve.org/view.php?id=CVE-2023-7045
A CSRF vulnerability exists within GitLab CE/EE from versions 13.11 before 16.10.6, from 16.11 before 16.11.3, from 17.0 before 17.0.1. By leveraging this vulnerability, an attacker could exfiltrate anti-CSRF tokens via the Kubernetes Agent Server (KAS). Existe una vulnerabilidad CSRF en GitLab CE/EE desde las versiones 13.11 anteriores a 16.10.6, desde 16.11 anteriores a 16.11.3, desde 17.0 anteriores a 17.0.1. Al aprovechar esta vulnerabilidad, un atacante podría filtrar tokens anti-CSRF a través del servidor de agentes de Kubernetes (KAS). • https://gitlab.com/gitlab-org/gitlab/-/issues/436358 https://hackerone.com/reports/2286823 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2024-1947 – Improper Handling of Highly Compressed Data (Data Amplification) in GitLab
https://notcve.org/view.php?id=CVE-2024-1947
A denial of service (DoS) condition was discovered in GitLab CE/EE affecting all versions from 13.2.4 before 16.10.6, 16.11 before 16.11.3, and 17.0 before 17.0.1. By leveraging this vulnerability an attacker could create a DoS condition by sending crafted API calls. Se descubrió una condición de denegación de servicio (DoS) en GitLab CE/EE que afecta a todas las versiones desde 13.2.4 anterior a 16.10.6, 16.11 anterior a 16.11.3 y 17.0 anterior a 17.0.1. Al aprovechar esta vulnerabilidad, un atacante podría crear una condición DoS enviando llamadas API manipuladas. • https://gitlab.com/gitlab-org/gitlab/-/issues/443559 https://hackerone.com/reports/2380264 • CWE-400: Uncontrolled Resource Consumption CWE-409: Improper Handling of Highly Compressed Data (Data Amplification) •
CVE-2024-5258 – Authorization Bypass Through User-Controlled Key in GitLab
https://notcve.org/view.php?id=CVE-2024-5258
An authorization vulnerability exists within GitLab from versions 16.10 before 16.10.6, 16.11 before 16.11.3, and 17.0 before 17.0.1 where an authenticated attacker could utilize a crafted naming convention to bypass pipeline authorization logic. Existe una vulnerabilidad de autorización dentro de GitLab desde las versiones 16.10 anteriores a 16.10.6, 16.11 anteriores a 16.11.3 y 17.0 anteriores a 17.0.1 donde un atacante autenticado podría utilizar una convención de nomenclatura manipulada para evitar la lógica de autorización de canalización. • https://gitlab.com/gitlab-org/gitlab/-/issues/443254 • CWE-639: Authorization Bypass Through User-Controlled Key •