CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2022-0344
https://notcve.org/view.php?id=CVE-2022-0344
An issue has been discovered in GitLab affecting all versions starting from 10.0 before 14.5.4, all versions starting from 10.1 before 14.6.4, all versions starting from 10.2 before 14.7.1. Private project paths can be disclosed to unauthorized users via system notes when an Issue is closed via a Merge Request and later moved to a public project Se ha detectado un problema en GitLab afectando a todas las versiones a partir de la 10.0 anteriores a 14.5.4, todas las versiones a partir de la 10.1 anteriores a 14.6.4, todas las versiones a partir de la 10.2 anteriores a 14.7.1. Las rutas privadas de los proyectos pueden ser divulgadas a usuarios no autorizados por medio de las notas del sistema cuando una incidencia es cerrada mediante una petición de fusión y posteriormente es movida a un proyecto público • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0344.json https://gitlab.com/gitlab-org/gitlab/-/issues/37015 https://hackerone.com/reports/724880 •
CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-0123
https://notcve.org/view.php?id=CVE-2022-0123
An issue has been discovered affecting GitLab versions prior to 14.4.5, between 14.5.0 and 14.5.3, and between 14.6.0 and 14.6.1. GitLab does not validate SSL certificates for some of external CI services which makes it possible to perform MitM attacks on connections to these external services. Se ha detectado un problema afectando las versiones de GitLab anteriores a 14.4.5, entre la 14.5.0 y la 14.5.3, y entre la 14.6.0 y la 14.6.1. GitLab no comprueba los certificados SSL para algunos de los servicios externos de CI, lo que hace posible llevar a cabo ataques MitM en las conexiones a estos servicios externos • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0123.json https://gitlab.com/gitlab-org/gitlab/-/issues/296632 • CWE-295: Improper Certificate Validation •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 1CVE-2022-0427
https://notcve.org/view.php?id=CVE-2022-0427
Missing sanitization of HTML attributes in Jupyter notebooks in all versions of GitLab CE/EE since version 14.5 allows an attacker to perform arbitrary HTTP POST requests on a user's behalf leading to potential account takeover Una falta de saneo de los atributos HTML en los cuadernos Jupyter en todas las versiones de GitLab CE/EE desde la versión 14.5 permite a un atacante llevar a cabo peticiones HTTP POST arbitrarias en nombre de un usuario, conllevando a una potencial toma de posesión de la cuenta • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0427.json https://gitlab.com/gitlab-org/gitlab/-/issues/347284 https://hackerone.com/reports/1409788 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-0738
https://notcve.org/view.php?id=CVE-2022-0738
An issue has been discovered in GitLab affecting all versions starting from 14.6 before 14.6.5, all versions starting from 14.7 before 14.7.4, all versions starting from 14.8 before 14.8.2. GitLab was leaking user passwords when adding mirrors with SSH credentials under specific conditions. Se ha detectado un problema en GitLab afectando a todas las versiones a partir de la 14.6 anteriores a 14.6.5, todas las versiones a partir de la 14.7 anteriores a 14.7.4, todas las versiones a partir de la 14.8 anteriores a 14.8.2. GitLab filtraba las contraseñas de los usuarios cuando eran añadidas réplicas con credenciales SSH en determinadas condiciones • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0738.json https://gitlab.com/gitlab-org/gitlab/-/issues/27395 • CWE-522: Insufficiently Protected Credentials •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2022-0751
https://notcve.org/view.php?id=CVE-2022-0751
Inaccurate display of Snippet files containing special characters in all versions of GitLab CE/EE allows an attacker to create Snippets with misleading content which could trick unsuspecting users into executing arbitrary commands Una visualización imprecisa de los archivos Snippet que contienen caracteres especiales en todas las versiones de GitLab CE/EE permite a un atacante crear Snippets con contenido engañoso que podría engañar a usuarios desprevenidos para que ejecuten comandos arbitrario • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0751.json https://gitlab.com/gitlab-org/gitlab/-/issues/349382 https://hackerone.com/reports/1420660 •