CVE-2022-1981
https://notcve.org/view.php?id=CVE-2022-1981
An issue has been discovered in GitLab EE affecting all versions starting from 12.2 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1. In GitLab, if a group enables the setting to restrict access to users belonging to specific domains, that allow-list may be bypassed if a Maintainer uses the 'Invite a group' feature to invite a group that has members that don't comply with domain allow-list. Se ha detectado un problema en GitLab EE afectando a todas las versiones a partir de la 12.2 anteriores a 14.10.5, la 15.0 anteriores a 15.0.4 y la 15.1 anteriores a 15.1.1. En GitLab, si un grupo habilita la configuración para restringir el acceso a usuarios que pertenecen a dominios específicos, esa lista permitida puede omitirse si un mantenedor usa la función "Invite a group" para invitar a un grupo que presenta miembros que no cumplen con la lista permitida del dominio • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1981.json https://gitlab.com/gitlab-org/gitlab/-/issues/354791 https://hackerone.com/reports/1501733 • CWE-863: Incorrect Authorization •
CVE-2022-1983
https://notcve.org/view.php?id=CVE-2022-1983
Incorrect authorization in GitLab EE affecting all versions from 10.7 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1, allowed an attacker already in possession of a valid Deploy Key or a Deploy Token to misuse it from any location to access Container Registries even when IP address restrictions were configured. Una autorización incorrecta en GitLab EE afectando a todas las versiones desde la 10.7 anteriores a 14.10.5, 15.0 anteriores a 15.0.4 y 15.1 anteriores a 15.1.1, permitía a un atacante que ya estuviera en posesión de una clave de despliegue válida o de un token de despliegue hacer un uso no debido de la misma desde cualquier lugar para acceder a los registros de contenedores, incluso cuando habían sido configuradas restricciones de direcciones IP • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1983.json https://gitlab.com/gitlab-org/gitlab/-/issues/363651 • CWE-863: Incorrect Authorization •
CVE-2022-2230
https://notcve.org/view.php?id=CVE-2022-2230
A Stored Cross-Site Scripting vulnerability in the project settings page in GitLab CE/EE affecting all versions from 14.4 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1, allows an attacker to execute arbitrary JavaScript code in GitLab on a victim's behalf. Una vulnerabilidad de tipo Cross-Site Scripting almacenada en la página de configuración del proyecto en GitLab CE/EE afectando a todas las versiones desde 14.4 anteriores a 14.10.5, 15.0 anteriores a 15.0.4, y 15.1 anteriores a 15.1.1, permite a un atacante ejecutar código JavaScript arbitrario en GitLab en nombre de una víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2230.json https://gitlab.com/gitlab-org/gitlab/-/issues/364164 https://hackerone.com/reports/1588732 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-2227
https://notcve.org/view.php?id=CVE-2022-2227
Improper access control in the runner jobs API in GitLab CE/EE affecting all versions prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1 allows a previous maintainer of a project with a specific runner to access job and project meta data under certain conditions Un control de acceso inapropiado en la API de trabajos del corredor en GitLab CE/EE afectando a todas las versiones anteriores a 14.10.5, 15.0 anteriores a 15.0.4, y 15.1 anteriores a 15.1.1, permite a un mantenedor anterior de un proyecto con un corredor específico acceder a los metadatos del trabajo y del proyecto bajo determinadas condiciones • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2227.json https://gitlab.com/gitlab-org/gitlab/-/issues/300842 https://hackerone.com/reports/1092199 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2022-2243
https://notcve.org/view.php?id=CVE-2022-2243
An access control vulnerability in GitLab EE/CE affecting all versions from 14.8 prior to 14.10.5, 15.0 prior to 15.0.4, and 15.1 prior to 15.1.1, allows authenticated users to enumerate issues in non-linked sentry projects. • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2243.json https://gitlab.com/gitlab-org/gitlab/-/issues/360666 https://hackerone.com/reports/1546138 • CWE-639: Authorization Bypass Through User-Controlled Key •