CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2500
https://notcve.org/view.php?id=CVE-2022-2500
A cross-site scripting issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, 15.1 prior to 15.1.4, and 15.2 prior to 15.2.1. A stored XSS flaw in job error messages allows attackers to perform arbitrary actions on behalf of victims at client side. Se ha detectado un problema de tipo cross-site scripting en GitLab CE/EE afectando a todas las versiones anteriores a 15.0.5, a 15.1 anterior a 15.1.4 y 15.2 anteriores a 15.2.1. Un fallo de tipo XSS almacenado en los mensajes de error de los trabajos permite a atacantes llevar a cabo acciones arbitrarias en nombre de las víctimas en el lado del cliente • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2500.json https://gitlab.com/gitlab-org/gitlab/-/issues/363725 https://hackerone.com/reports/1579645 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2022-2501
https://notcve.org/view.php?id=CVE-2022-2501
An improper access control issue in GitLab EE affecting all versions from 12.0 prior to 15.0.5, 15.1 prior to 15.1.4, and 15.2 prior to 15.2.1 allows an attacker to bypass IP allow-listing and download artifacts. This attack only bypasses IP allow-listing, proper permissions are still required. Un problema de control de acceso inapropiado en GitLab EE afectando a todas las versiones desde la 12.0 anteriores a 15.0.5, la 15.1 anteriores a 15.1.4 y la 15.2 anteriores a 15.2.1 permite a un atacante omitir la lista de IPs permitidas y descargar artefactos. Este ataque sólo evita la lista de IPs permitidas, los permisos apropiados siguen siendo necesarios • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2501.json https://gitlab.com/gitlab-org/gitlab/-/issues/364822 https://hackerone.com/reports/1591412 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2534
https://notcve.org/view.php?id=CVE-2022-2534
An issue has been discovered in GitLab CE/EE affecting all versions starting from 9.3 before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. GitLab was returning contributor emails due to improper data handling in the Datadog integration. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 9.3 anteriores a 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. GitLab devolvía los correos electrónicos de los colaboradores debido a un manejo inapropiado de los datos en la integración con Datadog • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2534.json https://gitlab.com/gitlab-org/gitlab/-/issues/361654 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2303
https://notcve.org/view.php?id=CVE-2022-2303
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible for group members to bypass 2FA enforcement enabled at the group level by using Resource Owner Password Credentials grant to obtain an access token without using 2FA. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Puede ser posible a los miembros del grupo omitir la aplicación de 2FA habilitada a nivel de grupo al usar la concesión de credenciales de contraseña de propietario de recursos para obtener un token de acceso sin usar 2FA • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2303.json https://gitlab.com/gitlab-org/gitlab/-/issues/355028 https://hackerone.com/reports/1498133 • CWE-287: Improper Authentication •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2326
https://notcve.org/view.php?id=CVE-2022-2326
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible to gain access to a private project through an email invite by using other user's email address as an unverified secondary email. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Puede ser posible obtener acceso a un proyecto privado mediante una invitación por correo electrónico usando la dirección de correo electrónico de otro usuario como un correo electrónico secundario no verificado • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2326.json https://gitlab.com/gitlab-org/gitlab/-/issues/356665 https://hackerone.com/reports/1517554 • CWE-863: Incorrect Authorization •