CVSS: 8.1EPSS: 0%CPEs: 3EXPL: 0CVE-2023-4379 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2023-4379
An issue has been discovered in GitLab EE affecting all versions starting from 15.3 prior to 16.2.8, 16.3 prior to 16.3.5, and 16.4 prior to 16.4.1. Code owner approval was not removed from merge requests when the target branch was updated. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde la 15.3 anterior a la 16.2.8, la 16.3 anterior a la 16.3.5 y la 16.4 anterior a la 16.4.1. La aprobación del propietario del código no se eliminó de las solicitudes de fusión cuando se actualizó la rama de destino. • https://gitlab.com/gitlab-org/gitlab/-/issues/415496 • CWE-284: Improper Access Control •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 1CVE-2023-4700 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2023-4700
An authorization issue affecting GitLab EE affecting all versions from 14.7 prior to 16.3.6, 16.4 prior to 16.4.2, and 16.5 prior to 16.5.1, allowed a user to run jobs in protected environments, bypassing any required approvals. Un problema de autorización que afectaba a GitLab EE y afectaba a todas las versiones desde 14.7 anterior a 16.3.6, 16.4 anterior a 16.4.2 y 16.5 anterior a 16.5.1, permitía a un usuario ejecutar trabajos en entornos protegidos, sin pasar por las aprobaciones requeridas. • https://gitlab.com/gitlab-org/gitlab/-/issues/421937 https://hackerone.com/reports/2129826 • CWE-284: Improper Access Control •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2023-5963 – Improper Input Validation in GitLab
https://notcve.org/view.php?id=CVE-2023-5963
An issue has been discovered in GitLab EE with Advanced Search affecting all versions from 13.9 to 16.3.6, 16.4 prior to 16.4.2 and 16.5 prior to 16.5.1 that could allow a denial of service in the Advanced Search function by chaining too many syntax operators. Se ha descubierto un problema en GitLab EE con Advanced Search que afecta a todas las versiones desde 13.9 a 16.3.6, 16.4 anterior a 16.4.2 y 16.5 anterior a 16.5.1 que podría permitir una denegación de servicio en la función de Advanced Search al encadenar demasiadas operadores de sintaxis. • https://gitlab.com/gitlab-org/gitlab/-/issues/423468 • CWE-20: Improper Input Validation •
CVSS: 8.5EPSS: 0%CPEs: 6EXPL: 1CVE-2023-3399 – Improper Access Control in GitLab
https://notcve.org/view.php?id=CVE-2023-3399
An issue has been discovered in GitLab EE affecting all versions starting from 11.6 before 16.3.6, all versions starting from 16.4 before 16.4.2, all versions starting from 16.5 before 16.5.1. It was possible for an unauthorised project or group member to read the CI/CD variables using the custom project templates. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 11.6 anteriores a 16.3.6, todas las versiones desde 16.4 anteriores a 16.4.2, todas las versiones desde 16.5 anteriores a 16.5.1. Era posible que un proyecto o miembro de grupo no autorizado leyera las variables CI/CD utilizando las plantillas de proyecto personalizadas. • https://gitlab.com/gitlab-org/gitlab/-/issues/416244 https://hackerone.com/reports/2021616 • CWE-284: Improper Access Control •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 1CVE-2023-3909 – Uncontrolled Resource Consumption in GitLab
https://notcve.org/view.php?id=CVE-2023-3909
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.3 before 16.3.6, all versions starting from 16.4 before 16.4.2, all versions starting from 16.5 before 16.5.1. A Regular Expression Denial of Service was possible by adding a large string in timeout input in gitlab-ci.yml file. Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde 12.3 anteriores a 16.3.6, todas las versiones desde 16.4 anteriores a 16.4.2, todas las versiones desde 16.5 anteriores a 16.5.1. Fue posible una Regular Expression Denial of Service agregando una cadena grande en la entrada de tiempo de espera en el archivo gitlab-ci.yml. • https://gitlab.com/gitlab-org/gitlab/-/issues/418763 https://hackerone.com/reports/2050269 • CWE-400: Uncontrolled Resource Consumption •