CVSS: 9.9EPSS: 0%CPEs: 6EXPL: 1CVE-2022-2884 – GitLab v15.3 - Remote Code Execution (RCE) (Authenticated)
https://notcve.org/view.php?id=CVE-2022-2884
A vulnerability in GitLab CE/EE affecting all versions from 11.3.4 prior to 15.1.5, 15.2 to 15.2.3, 15.3 to 15.3 to 15.3.1 allows an an authenticated user to achieve remote code execution via the Import from GitHub API endpoint Una vulnerabilidad en GitLab CE/EE afectando a todas las versiones desde la 11.3.4 anteriores a 15.1.5, desde la 15.2 a 15.2.3, desde la 15.3 a 15.3.1, permite a un usuario autenticado lograr una ejecución de código remota por medio del endpoint de la API Import from GitHub GitLab version 15.3 suffers from a remote code execution vulnerability. • https://www.exploit-db.com/exploits/51181 http://packetstormsecurity.com/files/171628/GitLab-15.3-Remote-Code-Execution.html https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2884.json https://gitlab.com/gitlab-org/gitlab/-/issues/371098 https://hackerone.com/reports/1672388 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-3293
https://notcve.org/view.php?id=CVE-2022-3293
Email addresses were leaked in WebHook logs in GitLab EE affecting all versions from 9.3 prior to 15.2.5, 15.3 prior to 15.3.4, and 15.4 prior to 15.4.1 Fueron filtrados direcciones de correo electrónico en los registros de WebHook en GitLab EE afectando a todas las versiones desde la 9.3 anteriores a 15.2.5, la 15.3 anteriores a 15.3.4 y la 15.4 anteriores a 15.4.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3293.json https://gitlab.com/gitlab-org/gitlab/-/issues/369008 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-3286
https://notcve.org/view.php?id=CVE-2022-3286
Lack of IP address checking in GitLab EE affecting all versions from 14.2 prior to 15.2.5, 15.3 prior to 15.3.4, and 15.4 prior to 15.4.1 allows a group member to bypass IP restrictions when using a deploy token Una falta de comprobación de la dirección IP en GitLab EE, afectando a todas las versiones desde la 14.2 anteriores a 15.2.5, la 15.3 anteriores a 15.3.4 y la 15.4 anteriores a 15.4.1, permite a un miembro del grupo omitir las restricciones de IP cuando usa un token de despliegue • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3286.json https://gitlab.com/gitlab-org/gitlab/-/issues/363827 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2095
https://notcve.org/view.php?id=CVE-2022-2095
An improper access control check in GitLab CE/EE affecting all versions starting from 13.7 before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1 allows a malicious authenticated user to view a public project's Deploy Key's public fingerprint and name when that key has write permission. Note that GitLab never asks for nor stores the private key. Una comprobación de control de acceso inapropiada en GitLab CE/EE afectando a todas las versiones a partir de 13.7 anteriores a 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4, a todas las versiones a partir de 15.2 anteriores a 15.2.1, permite a un usuario autenticado malicioso visualizar la huella digital pública y el nombre de la clave de despliegue de un proyecto público cuando dicha clave presenta permiso de escritura. Ten en cuenta que GitLab nunca pide ni almacena la clave privada • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2095.json https://gitlab.com/gitlab-org/gitlab/-/issues/365415 https://hackerone.com/reports/1600325 • CWE-863: Incorrect Authorization •
CVSS: 2.7EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2459
https://notcve.org/view.php?id=CVE-2022-2459
An issue has been discovered in GitLab EE affecting all versions before 15.0.5, all versions starting from 15.1 before 15.1.4, all versions starting from 15.2 before 15.2.1. It may be possible for email invited members to join a project even after the Group Owner has enabled the setting to prevent members from being added to projects in a group, if the invite was sent before the setting was enabled. Se ha detectado un problema en GitLab EE afectando a todas las versiones anteriores a la 15.0.5, a todas las versiones a partir de 15.1 anteriores a 15.1.4 y a todas las versiones a partir de 15.2 anteriores a 15.2.1. Es posible que miembros invitados por correo electrónico sean unidas a un proyecto incluso después de que el propietario del grupo haya habilitado la configuración para evitar que los miembros sean añadidas a proyectos de un grupo, si la invitación es enviada antes de que sea habilitada la configuración • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2459.json https://gitlab.com/gitlab-org/gitlab/-/issues/336169 https://hackerone.com/reports/1256967 • CWE-862: Missing Authorization •