CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2022-1983
https://notcve.org/view.php?id=CVE-2022-1983
Incorrect authorization in GitLab EE affecting all versions from 10.7 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1, allowed an attacker already in possession of a valid Deploy Key or a Deploy Token to misuse it from any location to access Container Registries even when IP address restrictions were configured. Una autorización incorrecta en GitLab EE afectando a todas las versiones desde la 10.7 anteriores a 14.10.5, 15.0 anteriores a 15.0.4 y 15.1 anteriores a 15.1.1, permitía a un atacante que ya estuviera en posesión de una clave de despliegue válida o de un token de despliegue hacer un uso no debido de la misma desde cualquier lugar para acceder a los registros de contenedores, incluso cuando habían sido configuradas restricciones de direcciones IP • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1983.json https://gitlab.com/gitlab-org/gitlab/-/issues/363651 • CWE-863: Incorrect Authorization •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2227
https://notcve.org/view.php?id=CVE-2022-2227
Improper access control in the runner jobs API in GitLab CE/EE affecting all versions prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1 allows a previous maintainer of a project with a specific runner to access job and project meta data under certain conditions Un control de acceso inapropiado en la API de trabajos del corredor en GitLab CE/EE afectando a todas las versiones anteriores a 14.10.5, 15.0 anteriores a 15.0.4, y 15.1 anteriores a 15.1.1, permite a un mantenedor anterior de un proyecto con un corredor específico acceder a los metadatos del trabajo y del proyecto bajo determinadas condiciones • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2227.json https://gitlab.com/gitlab-org/gitlab/-/issues/300842 https://hackerone.com/reports/1092199 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34777
https://notcve.org/view.php?id=CVE-2022-34777
Jenkins GitLab Plugin 1.5.34 and earlier does not escape multiple fields inserted into the description of webhook-triggered builds, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission. Jenkins GitLab Plugin versiones 1.5.34 y anteriores, no escapa a los múltiples campos insertados en la descripción de las construcciones activadas por el webhook, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenada explotable por atacantes con permiso de Item/Configure • https://www.jenkins.io/security/advisory/2022-06-30/#SECURITY-2316 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 1CVE-2022-1821
https://notcve.org/view.php?id=CVE-2022-1821
An issue has been discovered in GitLab CE/EE affecting all versions starting from 10.8 before 14.9.5, all versions starting from 14.10 before 14.10.4, all versions starting from 15.0 before 15.0.1. It may be possible for a subgroup member to access the members list of their parent group. Se ha detectado un problema en GitLab CE/EE afectando todas las versiones a partir de 10.8 anteriores a 14.9.5, todas las versiones a partir de la 14.10 anteriores a 14.10.4, todas las versiones a partir de la 15.0 anteriores a 15.0.1. Es posible que un miembro de un subgrupo pueda acceder a la lista de miembros de su grupo padre • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1821.json https://gitlab.com/gitlab-org/gitlab/-/issues/353730 •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2022-1423
https://notcve.org/view.php?id=CVE-2022-1423
Improper access control in the CI/CD cache mechanism in GitLab CE/EE affecting all versions starting from 1.0.2 before 14.8.6, all versions from 14.9.0 before 14.9.4, and all versions from 14.10.0 before 14.10.1 allows a malicious actor with Developer privileges to perform cache poisoning leading to arbitrary code execution in protected branches Un control de acceso inapropiado en el mecanismo de caché CI/CD en GitLab CE/EE afectando a todas las versiones a partir de la 1.0.2 anteriores a 14.8.6, todas las versiones a partir de la 14.9.0 anteriores a 14.9.4 y todas las versiones a partir de la 14.10.0 anteriores a 14.10.1, permite a un actor malicioso con privilegios de desarrollador llevar a cabo un envenenamiento de la caché conllevando a una ejecución de código arbitrario en ramas protegidas • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1423.json https://gitlab.com/gitlab-org/gitlab/-/issues/330047 https://hackerone.com/reports/1182375 • CWE-862: Missing Authorization •