CVE-2022-2326
https://notcve.org/view.php?id=CVE-2022-2326
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible to gain access to a private project through an email invite by using other user's email address as an unverified secondary email. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Puede ser posible obtener acceso a un proyecto privado mediante una invitación por correo electrónico usando la dirección de correo electrónico de otro usuario como un correo electrónico secundario no verificado • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2326.json https://gitlab.com/gitlab-org/gitlab/-/issues/356665 https://hackerone.com/reports/1517554 • CWE-863: Incorrect Authorization •
CVE-2022-2498
https://notcve.org/view.php?id=CVE-2022-2498
An issue in pipeline subscriptions in GitLab EE affecting all versions from 12.8 prior to 15.0.5, 15.1 prior to 15.1.4, and 15.2 prior to 15.2.1 triggered new pipelines with the person who created the tag as the pipeline creator instead of the subscription's author. Un problema en las suscripciones a pipelines en GitLab EE afectando a todas las versiones desde la 12.8 anteriores a 15.0.5, la 15.1 anteriores a 15.1.4 y la 15.2 anteriores a 15.2.1, desencadena nuevos pipelines con la persona que creó la etiqueta como creador de tubería en lugar del autor de la suscripción • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2498.json https://gitlab.com/gitlab-org/gitlab/-/issues/243703 https://hackerone.com/reports/966824 • CWE-269: Improper Privilege Management •
CVE-2022-2456
https://notcve.org/view.php?id=CVE-2022-2456
An issue has been discovered in GitLab CE/EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible for malicious group or project maintainers to change their corresponding group or project visibility by crafting a malicious POST request. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Es posible que mantenedores de grupos o proyectos maliciosos cambien la visibilidad de su grupo o proyecto correspondiente al diseñar una petición POST maliciosa • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2456.json https://gitlab.com/gitlab-org/gitlab/-/issues/359910 https://hackerone.com/reports/1536559 •
CVE-2022-2497
https://notcve.org/view.php?id=CVE-2022-2497
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.6 before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. A malicious developer could exfiltrate an integration's access token by modifying the integration URL such that authenticated requests are sent to an attacker controlled server. Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 12.6 antes de la 15.0.5, todas las versiones a partir de la 15.1 antes de la 15.1.4, todas las versiones a partir de la 15.2 antes de la 15.2.1. Un desarrollador malintencionado podría exfiltrar el token de acceso de una integración modificando la URL de la integración de forma que las peticiones autenticadas se envíen a un servidor controlado por el atacante • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2497.json https://gitlab.com/gitlab-org/gitlab/-/issues/362671 https://hackerone.com/reports/1557992 •
CVE-2022-2531
https://notcve.org/view.php?id=CVE-2022-2531
An issue has been discovered in GitLab EE affecting all versions starting from 12.5 before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. GitLab was not performing correct authentication on Grafana API under specific conditions allowing unauthenticated users to perform queries through a path traversal vulnerability. Se ha detectado un problema en GitLab EE afectando a todas las versiones a partir de 12.5 anteriores a 15.0.5, todas las versiones a partir de 15.1 anteriores a 15.1.4, todas las versiones a partir de 15.2 anteriores a 15.2.1. GitLab no estaba llevando a cabo una autenticación correcta en la API de Grafana bajo condiciones específicas que permitían a usuarios no autenticados llevar a cabo consultas mediante una vulnerabilidad de salto de ruta • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2531.json https://gitlab.com/gitlab-org/gitlab/-/issues/364252 https://hackerone.com/reports/1566306 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •