CVSS: 8.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-4037
https://notcve.org/view.php?id=CVE-2022-4037
An issue has been discovered in GitLab CE/EE affecting all versions before 15.5.7, all versions starting from 15.6 before 15.6.4, all versions starting from 15.7 before 15.7.2. A race condition can lead to verified email forgery and takeover of third-party accounts when using GitLab as an OAuth provider. Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones anteriores a 15.5.7, todas las versiones desde 15.6 anteriores a 15.6.4, todas las versiones desde 15.7 anteriores a 15.7.2. Una condición de ejecución puede provocar la falsificación de correos electrónicos verificados y la toma de control de cuentas de terceros cuando se utiliza GitLab como proveedor de OAuth. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-4037.json https://gitlab.com/gitlab-org/gitlab/-/issues/382957 https://hackerone.com/reports/1772543 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-3285
https://notcve.org/view.php?id=CVE-2022-3285
Bypass of healthcheck endpoint allow list affecting all versions from 12.0 prior to 15.2.5, 15.3 prior to 15.3.4, and 15.4 prior to 15.4.1 allows an unauthorized attacker to prevent access to GitLab Omitir la lista de permitidos del endpoint de Healthcheck que afecta a todas las versiones desde 12.0 anterior a 15.2.5, 15.3 anterior a 15.3.4 y 15.4 anterior a 15.4.1 permite a un atacante no autorizado impedir el acceso a GitLab • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3285.json https://gitlab.com/gitlab-org/security/omnibus-gitlab/-/issues/64 •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-3483
https://notcve.org/view.php?id=CVE-2022-3483
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.1 before 15.3.5, all versions starting from 15.4 before 15.4.4, all versions starting from 15.5 before 15.5.2. A malicious maintainer could exfiltrate a Datadog integration's access token by modifying the integration URL such that authenticated requests are sent to an attacker controlled server. Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde 12.1 anteriores a 15.3.5, todas las versiones desde 15.4 anteriores a 15.4.4, todas las versiones desde 15.5 anteriores a 15.5.2. Un mantenedor malicioso podría filtrar el token de acceso de una integración de Datadog modificando la URL de integración de manera que las solicitudes autenticadas se envíen a un servidor controlado por el atacante. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3483.json https://gitlab.com/gitlab-org/gitlab/-/issues/377799 https://hackerone.com/reports/1724402 •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-3413
https://notcve.org/view.php?id=CVE-2022-3413
Incorrect authorization during display of Audit Events in GitLab EE affecting all versions from 14.5 prior to 15.3.5, 15.4 prior to 15.4.4, and 15.5 prior to 15.5.2, allowed Developers to view the project's Audit Events and Developers or Maintainers to view the group's Audit Events. These should have been restricted to Project Maintainers, Group Owners, and above. La autorización incorrecta durante la visualización de eventos de auditoría en GitLab EE que afecta a todas las versiones desde 14.5 anterior a 15.3.5, 15.4 anterior a 15.4.4 y 15.5 anterior a 15.5.2, permitió a los desarrolladores ver los eventos de auditoría del proyecto y a los desarrolladores o mantenedores ver los Eventos de Auditoría del grupo. Estos deberían haber estado restringidos a mantenedores de proyectos, propietarios de grupos y superiores. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3413.json https://gitlab.com/gitlab-org/gitlab/-/issues/374926 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2761
https://notcve.org/view.php?id=CVE-2022-2761
An information disclosure issue in GitLab CE/EE affecting all versions from 14.4 prior to 15.3.5, 15.4 prior to 15.4.4, and 15.5 prior to 15.5.2 allows an attacker to use GitLab Flavored Markdown (GFM) references in a Jira issue to disclose the names of resources they don't have access to. Un problema de divulgación de información en GitLab CE/EE que afecta a todas las versiones desde 14.4 anterior a 15.3.5, 15.4 anterior a 15.4.4 y 15.5 anterior a 15.5.2 permite a un atacante utilizar referencias de GitLab Flavored Markdown (GFM) en un problema en una edición de Jira para revelar los nombres de los recursos a los que no tienen acceso. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2761.json https://gitlab.com/gitlab-org/gitlab/-/issues/370458 https://hackerone.com/reports/1653149 •