Page 7 of 445 results (0.010 seconds)

CVSS: 3.5EPSS: 0%CPEs: 3EXPL: 1

An issue has been discovered in GitLab EE affecting all versions starting from 8.17 before 16.4.4, all versions starting from 16.5 before 16.5.4, all versions starting from 16.6 before 16.6.2. It was possible for auditor users to fork and submit merge requests to private projects they're not a member of. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 8.17 anteriores a 16.4.4, todas las versiones desde 16.5 anteriores a 16.5.4, todas las versiones desde 16.6 anteriores a 16.6.2. Los usuarios auditores pudieron bifurcar y enviar solicitudes de fusión a proyectos privados de los que no son miembros. • https://gitlab.com/gitlab-org/gitlab/-/issues/416961 https://hackerone.com/reports/2046752 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •

CVSS: 8.1EPSS: 0%CPEs: 7EXPL: 1

Patch in third party library Consul requires 'enable-script-checks' to be set to False. This was required to enable a patch by the vendor. Without this setting the patch could be bypassed. This only affects GitLab-EE. El parche en la librería de terceros Consul requiere que 'enable-script-checks' esté configurado en False. • https://gitlab.com/gitlab-org/omnibus-gitlab/-/issues/8171 https://www.hashicorp.com/blog/protecting-consul-from-rce-risk-in-specific-configurations • CWE-16: Configuration CWE-1395: Dependency on Vulnerable Third-Party Component •

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 1

An issue has been discovered in GitLab affecting all versions starting from 9.2 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for a user with the Developer role to update a pipeline schedule from an unprotected branch to a protected branch. Se ha descubierto un problema en GitLab que afecta a todas las versiones desde 9.2 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Un usuario con el rol de Desarrollador podía actualizar una programación de canalización desde una rama desprotegida a una rama protegida. • https://gitlab.com/gitlab-org/gitlab/-/issues/421846 https://hackerone.com/reports/2089517 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •

CVSS: 3.1EPSS: 0%CPEs: 3EXPL: 1

An issue has been discovered in GitLab EE affecting all versions starting from 8.13 before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. It was possible for an attacker to abuse the `Allowed to merge` permission as a guest user, when granted the permission through a group. Se descubrió un problema en GitLab EE que afecta a todas las versiones desde 8.13 anteriores a 16.4.3, todas las versiones desde 16.5 anteriores a 16.5.3, todas las versiones desde 16.6 anteriores a 16.6.1. Era posible que un atacante abusara del permiso "Permitido fusionar" como usuario invitado, cuando se le concedía el permiso a través de un grupo. • https://gitlab.com/gitlab-org/gitlab/-/issues/423835 https://hackerone.com/reports/2104540 • CWE-284: Improper Access Control CWE-863: Incorrect Authorization •

CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 1

An issue has been discovered in GitLab affecting all versions before 16.4.3, all versions starting from 16.5 before 16.5.3, all versions starting from 16.6 before 16.6.1. Under certain circumstances, a malicious actor bypass prohibited branch checks using a specially crafted branch name to manipulate repository content in the UI. Se ha descubierto un problema en GitLab que afecta a todas las versiones anteriores a 16.4.3, todas las versiones a partir de 16.5 anteriores a 16.5.3, todas las versiones a partir de 16.6 anteriores a 16.6.1. En determinadas circunstancias, un actor malintencionado elude las comprobaciones de sucursales prohibidas utilizando un nombre de sucursal especialmente manipulado para manipular el contenido del repositorio en la interfaz de usuario. • https://gitlab.com/gitlab-org/gitlab/-/issues/426400 https://hackerone.com/reports/2173053 • CWE-94: Improper Control of Generation of Code ('Code Injection') •