CVE-2023-4317 – Incorrect Authorization in GitLab
https://notcve.org/view.php?id=CVE-2023-4317
An issue has been discovered in GitLab affecting all versions starting from 9.2 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for a user with the Developer role to update a pipeline schedule from an unprotected branch to a protected branch. Se ha descubierto un problema en GitLab que afecta a todas las versiones desde 9.2 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Un usuario con el rol de Desarrollador podía actualizar una programación de canalización desde una rama desprotegida a una rama protegida. • https://gitlab.com/gitlab-org/gitlab/-/issues/421846 https://hackerone.com/reports/2089517 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •
CVE-2023-4658 – Incorrect Authorization in GitLab
https://notcve.org/view.php?id=CVE-2023-4658
An issue has been discovered in GitLab EE affecting all versions starting from 8.13 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for an attacker to abuse the `Allowed to merge` permission as a guest user, when granted the permission through a group. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 8.13 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Era posible que un atacante abusara del permiso "Permitido fusionar" como usuario invitado, cuando se le concedía el permiso a través de un grupo. • https://gitlab.com/gitlab-org/gitlab/-/issues/423835 https://hackerone.com/reports/2104540 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •
CVE-2023-4912 – Allocation of Resources Without Limits or Throttling in GitLab
https://notcve.org/view.php?id=CVE-2023-4912
An issue has been discovered in GitLab EE affecting all versions starting from 10.5 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for an attacker to cause a client-side denial of service using malicious crafted mermaid diagram input. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 10.5 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Era posible que un atacante provocara una denegación de servicio en el lado del cliente utilizando una entrada de diagrama de sirena manipulada con fines maliciosos. • https://gitlab.com/gitlab-org/gitlab/-/issues/424882 https://hackerone.com/reports/2137421 • CWE-400: Uncontrolled Resource Consumption CWE-770: Allocation of Resources Without Limits or Throttling •
CVE-2023-5226 – Improper Control of Generation of Code ('Code Injection') in GitLab
https://notcve.org/view.php?id=CVE-2023-5226
An issue has been discovered in GitLab affecting all versions before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. Under certain circumstances, a malicious actor bypass prohibited branch checks using a specially crafted branch name to manipulate repository content in the UI. Se ha descubierto un problema en GitLab que afecta a todas las versiones anteriores a 16.4.3, todas las versiones a partir de 16.5 anteriores a 16.5.3, todas las versiones a partir de 16.6 anteriores a 16.6.1. En determinadas circunstancias, un actor malintencionado elude las comprobaciones de sucursales prohibidas utilizando un nombre de sucursal especialmente manipulado para manipular el contenido del repositorio en la interfaz de usuario. • https://gitlab.com/gitlab-org/gitlab/-/issues/426400 https://hackerone.com/reports/2173053 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2023-4700 – Missing Authorization in GitLab
https://notcve.org/view.php?id=CVE-2023-4700
An authorization issue affecting GitLab EE affecting all versions from 14.7 prior to 16.3.6, 16.4 prior to 16.4.2, and 16.5 prior to 16.5.1, allowed a user to run jobs in protected environments, bypassing any required approvals. Un problema de autorización que afectaba a GitLab EE y afectaba a todas las versiones desde 14.7 anterior a 16.3.6, 16.4 anterior a 16.4.2 y 16.5 anterior a 16.5.1, permitía a un usuario ejecutar trabajos en entornos protegidos, sin pasar por las aprobaciones requeridas. • https://gitlab.com/gitlab-org/gitlab/-/issues/421937 https://hackerone.com/reports/2129826 • CWE-284: Improper Access Control CWE-862: Missing Authorization •