CVE-2022-3413
https://notcve.org/view.php?id=CVE-2022-3413
Incorrect authorization during display of Audit Events in GitLab EE affecting all versions from 14.5 prior to 15.3.5, 15.4 prior to 15.4.4, and 15.5 prior to 15.5.2, allowed Developers to view the project's Audit Events and Developers or Maintainers to view the group's Audit Events. These should have been restricted to Project Maintainers, Group Owners, and above. La autorización incorrecta durante la visualización de eventos de auditoría en GitLab EE que afecta a todas las versiones desde 14.5 anterior a 15.3.5, 15.4 anterior a 15.4.4 y 15.5 anterior a 15.5.2, permitió a los desarrolladores ver los eventos de auditoría del proyecto y a los desarrolladores o mantenedores ver los Eventos de Auditoría del grupo. Estos deberían haber estado restringidos a mantenedores de proyectos, propietarios de grupos y superiores. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3413.json https://gitlab.com/gitlab-org/gitlab/-/issues/374926 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2022-3706
https://notcve.org/view.php?id=CVE-2022-3706
Improper authorization in GitLab CE/EE affecting all versions from 7.14 prior to 15.3.5, 15.4 prior to 15.4.4, and 15.5 prior to 15.5.2 allows a user retrying a job in a downstream pipeline to take ownership of the retried jobs in the upstream pipeline even if the user doesn't have access to that project. La autorización inadecuada en GitLab CE/EE que afecta a todas las versiones desde 7.14 anterior a 15.3.5, 15.4 anterior a 15.4.4 y 15.5 anterior a 15.5.2 permite a un usuario reintentar un trabajo en una canalización descendente para tomar posesión de los trabajos reintentados en la tubería ascendente incluso si el usuario no tiene acceso a ese proyecto. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3706.json https://gitlab.com/gitlab-org/gitlab/-/issues/365532 •
CVE-2022-2904
https://notcve.org/view.php?id=CVE-2022-2904
A cross-site scripting issue has been discovered in GitLab CE/EE affecting all versions starting from 15.2 before 15.2.5, all versions starting from 15.3 before 15.3.4, all versions starting from 15.4 before 15.4.1 It was possible to exploit a vulnerability in the external status checks feature which could lead to a stored XSS that allowed attackers to perform arbitrary actions on behalf of victims at client side. Se descubrió un problema de Cross-Site Scripting (XSS) en GitLab CE/EE que afecta a todas las versiones desde 15.2 anteriores a 15.2.5, todas las versiones desde 15.3 anteriores a 15.3.4, todas las versiones desde 15.4 anteriores a 15.4.1. Fue posible explotar una vulnerabilidad en la función de verificación de estado externa que podría conducir a un XSS almacenado que permitiera a los atacantes realizar acciones arbitrarias en nombre de las víctimas en el lado del cliente. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2904.json https://gitlab.com/gitlab-org/gitlab/-/issues/367408 https://hackerone.com/reports/1628009 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-3018
https://notcve.org/view.php?id=CVE-2022-3018
An information disclosure vulnerability in GitLab CE/EE affecting all versions starting from 9.3 before 15.2.5, all versions starting from 15.3 before 15.3.4, all versions starting from 15.4 before 15.4.1 allows a project maintainer to access the DataDog integration API key from webhook logs. Una vulnerabilidad de divulgación de información en GitLab CE/EE que afecta a todas las versiones desde 9.3 anteriores a 15.2.5, todas las versiones desde 15.3 anteriores a 15.3.4, todas las versiones desde 15.4 anteriores a 15.4.1 permite que un mantenedor de proyecto acceda a la clave API de integración de DataDog de los registros de webhook. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3018.json https://gitlab.com/gitlab-org/gitlab/-/issues/360938 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2022-2826
https://notcve.org/view.php?id=CVE-2022-2826
An issue has been discovered in GitLab affecting all versions starting from 10.0 before 12.9.8, all versions starting from 12.10 before 12.10.7, all versions starting from 13.0 before 13.0.1. TODO Se ha descubierto un problema en GitLab que afecta a todas las versiones desde 10.0 anteriores a 12.9.8, todas las versiones desde 12.10 anteriores a 12.10.7, todas las versiones desde 13.0 anteriores a 13.0.1. TODO • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2826.json https://gitlab.com/gitlab-org/gitlab/-/issues/370790 https://hackerone.com/reports/1646633 •