CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-3351
https://notcve.org/view.php?id=CVE-2022-3351
An issue has been discovered in GitLab EE affecting all versions starting from 13.7 before 15.2.5, all versions starting from 15.3 before 15.3.4, all versions starting from 15.4 before 15.4.1. A user's primary email may be disclosed to an attacker through group member events webhooks. Se ha detectado un problema en GitLab EE afectando a todas las versiones a partir de 13.7 anteriores a 15.2.5, a todas las versiones a partir de 15.3 anteriores a 15.3.4, a todas las versiones a partir de 15.4 anteriores a 15.4.1. El correo electrónico principal de un usuario puede ser divulgado a un atacante mediante los webhooks de eventos de miembros del grupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3351.json https://gitlab.com/gitlab-org/gitlab/-/issues/364266 https://hackerone.com/reports/1446022 •
CVSS: 9.9EPSS: 0%CPEs: 6EXPL: 1CVE-2022-2884 – GitLab v15.3 - Remote Code Execution (RCE) (Authenticated)
https://notcve.org/view.php?id=CVE-2022-2884
A vulnerability in GitLab CE/EE affecting all versions from 11.3.4 prior to 15.1.5, 15.2 to 15.2.3, 15.3 to 15.3 to 15.3.1 allows an an authenticated user to achieve remote code execution via the Import from GitHub API endpoint Una vulnerabilidad en GitLab CE/EE afectando a todas las versiones desde la 11.3.4 anteriores a 15.1.5, desde la 15.2 a 15.2.3, desde la 15.3 a 15.3.1, permite a un usuario autenticado lograr una ejecución de código remota por medio del endpoint de la API Import from GitHub GitLab version 15.3 suffers from a remote code execution vulnerability. • https://www.exploit-db.com/exploits/51181 http://packetstormsecurity.com/files/171628/GitLab-15.3-Remote-Code-Execution.html https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2884.json https://gitlab.com/gitlab-org/gitlab/-/issues/371098 https://hackerone.com/reports/1672388 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-3293
https://notcve.org/view.php?id=CVE-2022-3293
Email addresses were leaked in WebHook logs in GitLab EE affecting all versions from 9.3 prior to 15.2.5, 15.3 prior to 15.3.4, and 15.4 prior to 15.4.1 Fueron filtrados direcciones de correo electrónico en los registros de WebHook en GitLab EE afectando a todas las versiones desde la 9.3 anteriores a 15.2.5, la 15.3 anteriores a 15.3.4 y la 15.4 anteriores a 15.4.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3293.json https://gitlab.com/gitlab-org/gitlab/-/issues/369008 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-3286
https://notcve.org/view.php?id=CVE-2022-3286
Lack of IP address checking in GitLab EE affecting all versions from 14.2 prior to 15.2.5, 15.3 prior to 15.3.4, and 15.4 prior to 15.4.1 allows a group member to bypass IP restrictions when using a deploy token Una falta de comprobación de la dirección IP en GitLab EE, afectando a todas las versiones desde la 14.2 anteriores a 15.2.5, la 15.3 anteriores a 15.3.4 y la 15.4 anteriores a 15.4.1, permite a un miembro del grupo omitir las restricciones de IP cuando usa un token de despliegue • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3286.json https://gitlab.com/gitlab-org/gitlab/-/issues/363827 •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-2455
https://notcve.org/view.php?id=CVE-2022-2455
A business logic issue in the handling of large repositories in all versions of GitLab CE/EE from 10.0 before 15.1.6, all versions starting from 15.2 before 15.2.4, all versions starting from 15.3 before 15.3.2 allowed an authenticated and authorized user to exhaust server resources by importing a malicious project. Un problema de lógica de negocio en el manejo de repositorios grandes en todas las versiones de GitLab CE/EE desde la 10.0 anteriores a 15.1.6, todas las versiones a partir de 15.2 anteriores a 15.2.4, todas las versiones a partir de 15.3 anteriores a 15.3.2, permitía a un usuario autenticado y autorizado agotar los recursos del servidor importando un proyecto malicioso • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2455.json https://gitlab.com/gitlab-org/gitlab/-/issues/359964 https://hackerone.com/reports/1542230 • CWE-400: Uncontrolled Resource Consumption •