CVE-2022-2534
https://notcve.org/view.php?id=CVE-2022-2534
An issue has been discovered in GitLab CE/EE affecting all versions starting from 9.3 before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. GitLab was returning contributor emails due to improper data handling in the Datadog integration. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 9.3 anteriores a 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. GitLab devolvía los correos electrónicos de los colaboradores debido a un manejo inapropiado de los datos en la integración con Datadog • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2534.json https://gitlab.com/gitlab-org/gitlab/-/issues/361654 •
CVE-2022-2303
https://notcve.org/view.php?id=CVE-2022-2303
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible for group members to bypass 2FA enforcement enabled at the group level by using Resource Owner Password Credentials grant to obtain an access token without using 2FA. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Puede ser posible a los miembros del grupo omitir la aplicación de 2FA habilitada a nivel de grupo al usar la concesión de credenciales de contraseña de propietario de recursos para obtener un token de acceso sin usar 2FA • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2303.json https://gitlab.com/gitlab-org/gitlab/-/issues/355028 https://hackerone.com/reports/1498133 • CWE-287: Improper Authentication •
CVE-2022-2326
https://notcve.org/view.php?id=CVE-2022-2326
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible to gain access to a private project through an email invite by using other user's email address as an unverified secondary email. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Puede ser posible obtener acceso a un proyecto privado mediante una invitación por correo electrónico usando la dirección de correo electrónico de otro usuario como un correo electrónico secundario no verificado • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2326.json https://gitlab.com/gitlab-org/gitlab/-/issues/356665 https://hackerone.com/reports/1517554 • CWE-863: Incorrect Authorization •
CVE-2022-2498
https://notcve.org/view.php?id=CVE-2022-2498
An issue in pipeline subscriptions in GitLab EE affecting all versions from 12.8 prior to 15.0.5, 15.1 prior to 15.1.4, and 15.2 prior to 15.2.1 triggered new pipelines with the person who created the tag as the pipeline creator instead of the subscription's author. Un problema en las suscripciones a pipelines en GitLab EE afectando a todas las versiones desde la 12.8 anteriores a 15.0.5, la 15.1 anteriores a 15.1.4 y la 15.2 anteriores a 15.2.1, desencadena nuevos pipelines con la persona que creó la etiqueta como creador de tubería en lugar del autor de la suscripción • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2498.json https://gitlab.com/gitlab-org/gitlab/-/issues/243703 https://hackerone.com/reports/966824 • CWE-269: Improper Privilege Management •
CVE-2022-2456
https://notcve.org/view.php?id=CVE-2022-2456
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible for malicious group or project maintainers to change their corresponding group or project visibility by crafting a malicious POST request. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Es posible que mantenedores de grupos o proyectos maliciosos cambien la visibilidad de su grupo o proyecto correspondiente al diseñar una petición POST maliciosa • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2456.json https://gitlab.com/gitlab-org/gitlab/-/issues/359910 https://hackerone.com/reports/1536559 •