CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-3031
https://notcve.org/view.php?id=CVE-2022-3031
An issue has been discovered in GitLab CE/EE affecting all versions before 15.1.6, all versions starting from 15.2 before 15.2.4, all versions starting from 15.3 before 15.3.2. It may be possible for an attacker to guess a user's password by brute force by sending crafted requests to a specific endpoint, even if the victim user has 2FA enabled on their account. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones anteriores a 15.1.6, a todas las versiones a partir de 15.2 anteriores a 15.2.4 y a todas las versiones a partir de 15.3 anteriores a 15.3.2. Es posible que un atacante adivine la contraseña de un usuario por fuerza bruta mediante el envío de peticiones diseñadas a un endpoint específico, incluso si el usuario víctima presenta 2FA habilitado en su cuenta • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3031.json https://gitlab.com/gitlab-org/gitlab/-/issues/340395 •
CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2428
https://notcve.org/view.php?id=CVE-2022-2428
A crafted tag in the Jupyter Notebook viewer in GitLab EE/CE affecting all versions before 15.1.6, 15.2 to 15.2.4, and 15.3 to 15.3.2 allows an attacker to issue arbitrary HTTP requests Una etiqueta diseñada en Jupyter Notebook viewer in GitLab EE/CE que afectando a todas las versiones anteriores a 15.1.6, 15.2 a 15.2.4, y 15.3 a 15.3.2 permite a un atacante emitir peticiones HTTP arbitrarias • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2428.json https://gitlab.com/gitlab-org/gitlab/-/issues/362272 https://hackerone.com/reports/1563379 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.9EPSS: 0%CPEs: 6EXPL: 1CVE-2022-2884 – GitLab v15.3 - Remote Code Execution (RCE) (Authenticated)
https://notcve.org/view.php?id=CVE-2022-2884
A vulnerability in GitLab CE/EE affecting all versions from 11.3.4 prior to 15.1.5, 15.2 to 15.2.3, 15.3 to 15.3 to 15.3.1 allows an an authenticated user to achieve remote code execution via the Import from GitHub API endpoint Una vulnerabilidad en GitLab CE/EE afectando a todas las versiones desde la 11.3.4 anteriores a 15.1.5, desde la 15.2 a 15.2.3, desde la 15.3 a 15.3.1, permite a un usuario autenticado lograr una ejecución de código remota por medio del endpoint de la API Import from GitHub GitLab version 15.3 suffers from a remote code execution vulnerability. • https://www.exploit-db.com/exploits/51181 http://packetstormsecurity.com/files/171628/GitLab-15.3-Remote-Code-Execution.html https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2884.json https://gitlab.com/gitlab-org/gitlab/-/issues/371098 https://hackerone.com/reports/1672388 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-3030
https://notcve.org/view.php?id=CVE-2022-3030
An improper access control issue in GitLab CE/EE affecting all versions starting before 15.1.6, all versions from 15.2 before 15.2.4, all versions from 15.3 before 15.3.2 allows disclosure of pipeline status to unauthorized users. Un problema de control de acceso inapropiado en GitLab CE/EE afectando a todas las versiones a partir de 15.1.6, a todas las versiones a partir de 15.2 anteriores a 15.2.4, a todas las versiones a partir de 15.3 anteriores a 15.3.2 permite revelar el estado de las tuberías a usuarios no autorizados • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3030.json https://gitlab.com/gitlab-org/gitlab/-/issues/37959 https://hackerone.com/reports/749882 •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-3351
https://notcve.org/view.php?id=CVE-2022-3351
An issue has been discovered in GitLab EE affecting all versions starting from 13.7 before 15.2.5, all versions starting from 15.3 before 15.3.4, all versions starting from 15.4 before 15.4.1. A user's primary email may be disclosed to an attacker through group member events webhooks. Se ha detectado un problema en GitLab EE afectando a todas las versiones a partir de 13.7 anteriores a 15.2.5, a todas las versiones a partir de 15.3 anteriores a 15.3.4, a todas las versiones a partir de 15.4 anteriores a 15.4.1. El correo electrónico principal de un usuario puede ser divulgado a un atacante mediante los webhooks de eventos de miembros del grupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3351.json https://gitlab.com/gitlab-org/gitlab/-/issues/364266 https://hackerone.com/reports/1446022 •