CVE-2022-2908
https://notcve.org/view.php?id=CVE-2022-2908
A potential DoS vulnerability was discovered in Gitlab CE/EE versions starting from 10.7 before 15.1.5, all versions starting from 15.2 before 15.2.3, all versions starting from 15.3 before 15.3.1 allowed an attacker to trigger high CPU usage via a special crafted input added in the Commit message field. Se ha detectado una potencial vulnerabilidad DoS en Gitlab CE/EE versiones a partir de 10.7 anteriores a 15.1.5, todas las versiones a partir de 15.2 anteriores a 15.2.3, todas las versiones a partir de 15.3 anteriores a 15.3.1, que permitía a un atacante desencadenar un alto uso de la CPU por medio de una entrada especialmente diseñada añadida en el campo de mensaje Commit • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2908.json https://gitlab.com/gitlab-org/gitlab/-/issues/363734 https://hackerone.com/reports/1584156 • CWE-1333: Inefficient Regular Expression Complexity •
CVE-2022-2884 – GitLab v15.3 - Remote Code Execution (RCE) (Authenticated)
https://notcve.org/view.php?id=CVE-2022-2884
A vulnerability in GitLab CE/EE affecting all versions from 11.3.4 prior to 15.1.5, 15.2 to 15.2.3, 15.3 to 15.3 to 15.3.1 allows an an authenticated user to achieve remote code execution via the Import from GitHub API endpoint Una vulnerabilidad en GitLab CE/EE afectando a todas las versiones desde la 11.3.4 anteriores a 15.1.5, desde la 15.2 a 15.2.3, desde la 15.3 a 15.3.1, permite a un usuario autenticado lograr una ejecución de código remota por medio del endpoint de la API Import from GitHub GitLab version 15.3 suffers from a remote code execution vulnerability. • https://www.exploit-db.com/exploits/51181 http://packetstormsecurity.com/files/171628/GitLab-15.3-Remote-Code-Execution.html https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2884.json https://gitlab.com/gitlab-org/gitlab/-/issues/371098 https://hackerone.com/reports/1672388 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2022-3293
https://notcve.org/view.php?id=CVE-2022-3293
Email addresses were leaked in WebHook logs in GitLab EE affecting all versions from 9.3 prior to 15.2.5, 15.3 prior to 15.3.4, and 15.4 prior to 15.4.1 Fueron filtrados direcciones de correo electrónico en los registros de WebHook en GitLab EE afectando a todas las versiones desde la 9.3 anteriores a 15.2.5, la 15.3 anteriores a 15.3.4 y la 15.4 anteriores a 15.4.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3293.json https://gitlab.com/gitlab-org/gitlab/-/issues/369008 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2022-2459
https://notcve.org/view.php?id=CVE-2022-2459
An issue has been discovered in GitLab EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible for email invited members to join a project even after the Group Owner has enabled the setting to prevent members from being added to projects in a group, if the invite was sent before the setting was enabled. Se ha detectado un problema en GitLab EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Es posible que miembros invitados por correo electrónico sean unidas a un proyecto incluso después de que el propietario del grupo haya habilitado la configuración para evitar que los miembros sean añadidas a proyectos de un grupo, si la invitación es enviada antes de que sea habilitada la configuración • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2459.json https://gitlab.com/gitlab-org/gitlab/-/issues/336169 https://hackerone.com/reports/1256967 • CWE-862: Missing Authorization •
CVE-2022-2500
https://notcve.org/view.php?id=CVE-2022-2500
A cross-site scripting issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, 15.1 prior to 15.1.4, and 15.2 prior to 15.2.1. A stored XSS flaw in job error messages allows attackers to perform arbitrary actions on behalf of victims at client side. Se ha detectado un problema de tipo cross-site scripting en GitLab CE/EE afectando a todas las versiones anteriores a 15.0.5, a 15.1 anterior a 15.1.4 y 15.2 anteriores a 15.2.1. Un fallo de tipo XSS almacenado en los mensajes de error de los trabajos permite a atacantes llevar a cabo acciones arbitrarias en nombre de las víctimas en el lado del cliente • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2500.json https://gitlab.com/gitlab-org/gitlab/-/issues/363725 https://hackerone.com/reports/1579645 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •