CVSS: 5.4EPSS: 0%CPEs: 8EXPL: 0CVE-2022-3573
https://notcve.org/view.php?id=CVE-2022-3573
An issue has been discovered in GitLab CE/EE affecting all versions starting from 15.4 before 15.5.7, all versions starting from 15.6 before 15.6.4, all versions starting from 15.7 before 15.7.2. Due to the improper filtering of query parameters in the wiki changes page, an attacker can execute arbitrary JavaScript on the self-hosted instances running without strict CSP. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3573.json https://gitlab.com/gitlab-org/gitlab/-/issues/378216 https://hackerone.com/reports/1730461 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2022-4167
https://notcve.org/view.php?id=CVE-2022-4167
Incorrect Authorization check affecting all versions of GitLab EE from 13.11 prior to 15.5.7, 15.6 prior to 15.6.4, and 15.7 prior to 15.7.2 allows group access tokens to continue working even after the group owner loses the ability to revoke them. La verificación de autorización incorrecta que afecta a todas las versiones de GitLab EE desde la 13.11 anterior a la 15.5.7, la 15.6 anterior a la 15.6.4 y la 15.7 anterior a la 15.7.2 permite que los tokens de acceso al grupo sigan funcionando incluso después de que el propietario del grupo pierda la capacidad de revocarlos. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-4167.json https://gitlab.com/gitlab-org/gitlab/-/issues/367740 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-3870
https://notcve.org/view.php?id=CVE-2022-3870
An issue has been discovered in GitLab CE/EE affecting all versions starting from 10.0 before 15.5.7, all versions starting from 15.6 before 15.6.4, all versions starting from 15.7 before 15.7.2. GitLab allows unauthenticated users to download user avatars using the victim's user ID, on private instances that restrict public level visibility. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde 10.0 anteriores a 15.5.7, todas las versiones desde 15.6 anteriores a 15.6.4, todas las versiones desde 15.7 anteriores a 15.7.2. GitLab permite a los usuarios no autenticados descargar avatares de usuario utilizando la identificación de usuario de la víctima, en instancias privadas que restringen la visibilidad a nivel público. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3870.json https://gitlab.com/gitlab-org/gitlab/-/issues/381647 https://hackerone.com/reports/1753423 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-3819
https://notcve.org/view.php?id=CVE-2022-3819
An improper authorization issue in GitLab CE/EE affecting all versions from 15.0 prior to 15.3.5, 15.4 prior to 15.4.4, and 15.5 prior to 15.5.2 allows a malicious users to set emojis on internal notes they don't have access to. Un problema de autorización inadecuada en GitLab CE/EE que afecta a todas las versiones desde 15.0 anterior a 15.3.5, 15.4 anterior a 15.4.4 y 15.5 anterior a 15.5.2 permite a usuarios malintencionados configurar emojis en notas internas a las que no tienen acceso. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3819.json https://gitlab.com/gitlab-org/gitlab/-/issues/365847 • CWE-863: Incorrect Authorization •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-3483
https://notcve.org/view.php?id=CVE-2022-3483
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.1 before 15.3.5, all versions starting from 15.4 before 15.4.4, all versions starting from 15.5 before 15.5.2. A malicious maintainer could exfiltrate a Datadog integration's access token by modifying the integration URL such that authenticated requests are sent to an attacker controlled server. Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde 12.1 anteriores a 15.3.5, todas las versiones desde 15.4 anteriores a 15.4.4, todas las versiones desde 15.5 anteriores a 15.5.2. Un mantenedor malicioso podría filtrar el token de acceso de una integración de Datadog modificando la URL de integración de manera que las solicitudes autenticadas se envíen a un servidor controlado por el atacante. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3483.json https://gitlab.com/gitlab-org/gitlab/-/issues/377799 https://hackerone.com/reports/1724402 •