CVE-2023-4658 – Incorrect Authorization in GitLab
https://notcve.org/view.php?id=CVE-2023-4658
An issue has been discovered in GitLab EE affecting all versions starting from 8.13 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for an attacker to abuse the `Allowed to merge` permission as a guest user, when granted the permission through a group. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 8.13 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Era posible que un atacante abusara del permiso "Permitido fusionar" como usuario invitado, cuando se le concedía el permiso a través de un grupo. • https://gitlab.com/gitlab-org/gitlab/-/issues/423835 https://hackerone.com/reports/2104540 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •
CVE-2023-4912 – Allocation of Resources Without Limits or Throttling in GitLab
https://notcve.org/view.php?id=CVE-2023-4912
An issue has been discovered in GitLab EE affecting all versions starting from 10.5 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for an attacker to cause a client-side denial of service using malicious crafted mermaid diagram input. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 10.5 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Era posible que un atacante provocara una denegación de servicio en el lado del cliente utilizando una entrada de diagrama de sirena manipulada con fines maliciosos. • https://gitlab.com/gitlab-org/gitlab/-/issues/424882 https://hackerone.com/reports/2137421 • CWE-400: Uncontrolled Resource Consumption CWE-770: Allocation of Resources Without Limits or Throttling •
CVE-2023-5226 – Improper Control of Generation of Code ('Code Injection') in GitLab
https://notcve.org/view.php?id=CVE-2023-5226
An issue has been discovered in GitLab affecting all versions before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. Under certain circumstances, a malicious actor bypass prohibited branch checks using a specially crafted branch name to manipulate repository content in the UI. Se ha descubierto un problema en GitLab que afecta a todas las versiones anteriores a 16.4.3, todas las versiones a partir de 16.5 anteriores a 16.5.3, todas las versiones a partir de 16.6 anteriores a 16.6.1. En determinadas circunstancias, un actor malintencionado elude las comprobaciones de sucursales prohibidas utilizando un nombre de sucursal especialmente manipulado para manipular el contenido del repositorio en la interfaz de usuario. • https://gitlab.com/gitlab-org/gitlab/-/issues/426400 https://hackerone.com/reports/2173053 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2023-6033 – Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') in GitLab
https://notcve.org/view.php?id=CVE-2023-6033
Improper neutralization of input in Jira integration configuration in GitLab CE/EE, affecting all versions from 15.10 prior to 16.6.1, 16.5 prior to 16.5.3, and 16.4 prior to 16.4.3 allows attacker to execute javascript in victim's browser. La neutralización inadecuada de la entrada en la configuración de integración de Jira en GitLab CE/EE, que afecta a todas las versiones desde 15.10 anteriores a 16.6.1, 16.5 anteriores a 16.5.3 y 16.4 anteriores a 16.4.3, permite al atacante ejecutar javascript en el navegador de la víctima. • https://gitlab.com/gitlab-org/gitlab/-/issues/431201 https://hackerone.com/reports/2236039 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2023-5995 – Incorrect Authorization in GitLab
https://notcve.org/view.php?id=CVE-2023-5995
An issue has been discovered in GitLab EE affecting all versions starting from 16.2 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for an attacker to abuse the policy bot to gain access to internal projects. Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde 16.2 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Era posible que un atacante abusara del robot de políticas para obtener acceso a proyectos internos. • https://gitlab.com/gitlab-org/gitlab/-/issues/425361 https://hackerone.com/reports/2138880 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •