CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2024-1299 – Incorrect Authorization in GitLab
https://notcve.org/view.php?id=CVE-2024-1299
A privilege escalation vulnerability was discovered in GitLab affecting versions 16.8 prior to 16.8.4 and 16.9 prior to 16.9.2. It was possible for a user with custom role of `manage_group_access_tokens` to rotate group access tokens with owner privileges. Se descubrió una vulnerabilidad de escalada de privilegios en GitLab que afecta a las versiones 16.8 anteriores a 16.8.4 y 16.9 anteriores a 16.9.2. Era posible que un usuario con el rol personalizado `manage_group_access_tokens` rotara tokens de acceso de grupo con privilegios de propietario. • https://about.gitlab.com/releases/2024/03/06/security-release-gitlab-16-9-2-released https://gitlab.com/gitlab-org/gitlab/-/issues/440745 https://hackerone.com/reports/2356976 • CWE-863: Incorrect Authorization •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2023-4895 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2023-4895
An issue has been discovered in GitLab EE affecting all versions starting from 12.0 to 16.7.6, all versions starting from 16.8 before 16.8.3, all versions starting from 16.9 before 16.9.1. This vulnerability allows for bypassing the 'group ip restriction' settings to access environment details of projects Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 12.0 a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Esta vulnerabilidad permite omitir la configuración de 'restricción de IP de grupo' para acceder a los detalles del entorno de los proyectos. • https://gitlab.com/gitlab-org/gitlab/-/issues/424766 https://hackerone.com/reports/2134787 • CWE-284: Improper Access Control •
CVSS: 6.7EPSS: 0%CPEs: 3EXPL: 1CVE-2023-6477 – Improper Privilege Management in GitLab
https://notcve.org/view.php?id=CVE-2023-6477
An issue has been discovered in GitLab EE affecting all versions starting from 16.5 before 16.7.6, all versions starting from 16.8 before 16.8.3, all versions starting from 16.9 before 16.9.1. When a user is assigned a custom role with admin_group_member permission, they may be able to make a group, other members or themselves Owners of that group, which may lead to privilege escalation. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 16.5 anteriores a 16.7.6, todas las versiones desde 16.8 anteriores a 16.8.3, todas las versiones desde 16.9 anteriores a 16.9.1. Cuando a un usuario se le asigna una función personalizada con permiso admin_group_member, es posible que pueda convertir un grupo, otros miembros o ellos mismos en propietarios de ese grupo, lo que puede llevar a una escalada de privilegios. • https://gitlab.com/gitlab-org/gitlab/-/issues/433463 https://hackerone.com/reports/2270898 • CWE-269: Improper Privilege Management •
CVSS: 7.7EPSS: 0%CPEs: 3EXPL: 1CVE-2024-0410 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2024-0410
An authorization bypass vulnerability was discovered in GitLab affecting versions 15.1 prior to 16.7.6, 16.8 prior to 16.8.3, and 16.9 prior to 16.9.1. A developer could bypass CODEOWNERS approvals by creating a merge conflict. Se descubrió una vulnerabilidad de omisión de autorización en GitLab que afecta a las versiones 15.1 anteriores a 16.7.6, 16.8 anteriores a 16.8.3 y 16.9 anteriores a 16.9.1. Un desarrollador podría eludir las aprobaciones de CODEOWNERS creando un conflicto de fusión. • https://gitlab.com/gitlab-org/gitlab/-/issues/437988 https://hackerone.com/reports/2296778 • CWE-284: Improper Access Control •
CVSS: 8.7EPSS: 0%CPEs: 1EXPL: 1CVE-2024-1451 – Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLab
https://notcve.org/view.php?id=CVE-2024-1451
An issue has been discovered in GitLab CE/EE affecting all versions starting from 16.9 before 16.9.1. A crafted payload added to the user profile page could lead to a stored XSS on the client side, allowing attackers to perform arbitrary actions on behalf of victims." Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 16.9 hasta la 16.9.1. un payload manipulado y agregado a la página de perfil del usuario podría generar un XSS almacenado en el lado del cliente, lo que permitiría a los atacantes realizar acciones arbitrarias en nombre de las víctimas". • https://gitlab.com/gitlab-org/gitlab/-/issues/441457 https://hackerone.com/reports/2371126 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •