CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2250
https://notcve.org/view.php?id=CVE-2022-2250
An open redirect vulnerability in GitLab EE/CE affecting all versions from 11.1 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1, allows an attacker to redirect users to an arbitrary location if they trust the URL. Una vulnerabilidad de redireccionamiento abierto en GitLab EE/CE afectando a todas las versiones desde la 11.1 anteriores a 14.10.5, la 15.0 anteriores a 15.0.4 y la 15.1 anteriores a 15.1.1, permite a un atacante redirigir a usuarios a una ubicación arbitraria si confían en la URL • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2250.json https://gitlab.com/gitlab-org/gitlab/-/issues/355509 https://hackerone.com/reports/1506126 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-34777
https://notcve.org/view.php?id=CVE-2022-34777
Jenkins GitLab Plugin 1.5.34 and earlier does not escape multiple fields inserted into the description of webhook-triggered builds, resulting in a stored cross-site scripting (XSS) vulnerability exploitable by attackers with Item/Configure permission. Jenkins GitLab Plugin versiones 1.5.34 y anteriores, no escapa a los múltiples campos insertados en la descripción de las construcciones activadas por el webhook, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenada explotable por atacantes con permiso de Item/Configure • https://www.jenkins.io/security/advisory/2022-06-30/#SECURITY-2316 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.9EPSS: 0%CPEs: 3EXPL: 0CVE-2022-1680
https://notcve.org/view.php?id=CVE-2022-1680
An account takeover issue has been discovered in GitLab EE affecting all versions starting from 11.10 before 14.9.5, all versions starting from 14.10 before 14.10.4, all versions starting from 15.0 before 15.0.1. When group SAML SSO is configured, the SCIM feature (available only on Premium+ subscriptions) may allow any owner of a Premium group to invite arbitrary users through their username and email, then change those users' email addresses via SCIM to an attacker controlled email address and thus - in the absence of 2FA - take over those accounts. It is also possible for the attacker to change the display name and username of the targeted account. Se ha detectado un problema de toma de posesión de cuentas en GitLab EE afectando a todas las versiones a partir de 11.10 anteriores a 14.9.5, todas las versiones a partir de 14.10 anteriores a 14.10.4 y todas las versiones a partir de 15.0 anteriores a 15.0.1. Cuando es configurado el SAML SSO de grupo, la función SCIM (disponible sólo en las suscripciones Premium+) puede permitir a cualquier propietario de un grupo Premium invitar a usuarios arbitrarios mediante su nombre de usuario y su correo electrónico, y luego cambiar las direcciones de correo electrónico de esos usuarios por medio de SCIM a una dirección de correo electrónico controlada por el atacante y así -en ausencia de 2FA- una toma de control de esas cuentas. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1680.json https://gitlab.com/gitlab-org/gitlab/-/issues/363058 •
CVSS: 7.1EPSS: 0%CPEs: 6EXPL: 0CVE-2022-1944
https://notcve.org/view.php?id=CVE-2022-1944
When the feature is configured, improper authorization in the Interactive Web Terminal in GitLab CE/EE affecting all versions from 11.3 prior to 14.9.5, 14.10 prior to 14.10.4, and 15.0 prior to 15.0.1 allows users with the Developer role to open terminals on other Developers' running jobs Cuando la función está configurada, una autorización inapropiada en el Terminal Web Interactivo en GitLab CE/EE que afectando a todas las versiones desde la 11.3 anteriores a 14.9.5, 14.10 anteriores a 14.10.4, y 15.0 anteriores a 15.0.1, permite a usuarios con el rol de Desarrollador abrir terminales en los trabajos en ejecución de otros Desarrolladores • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1944.json https://gitlab.com/gitlab-org/gitlab/-/issues/349750 • CWE-863: Incorrect Authorization •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 1CVE-2022-1821
https://notcve.org/view.php?id=CVE-2022-1821
An issue has been discovered in GitLab CE/EE affecting all versions starting from 10.8 before 14.9.5, all versions starting from 14.10 before 14.10.4, all versions starting from 15.0 before 15.0.1. It may be possible for a subgroup member to access the members list of their parent group. Se ha detectado un problema en GitLab CE/EE afectando todas las versiones a partir de 10.8 anteriores a 14.9.5, todas las versiones a partir de la 14.10 anteriores a 14.10.4, todas las versiones a partir de la 15.0 anteriores a 15.0.1. Es posible que un miembro de un subgrupo pueda acceder a la lista de miembros de su grupo padre • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1821.json https://gitlab.com/gitlab-org/gitlab/-/issues/353730 •