CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-1189
https://notcve.org/view.php?id=CVE-2022-1189
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.2 before 14.7.7, all versions starting from 14.8 before 14.8.5, all versions starting from 14.9 before 14.9.2 that allowed for an unauthorised user to read the the approval rules of a private project. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de la 12.2 anteriores a 14.7.7, a todas las versiones a partir de la 14.8 anteriores a 14.8.5, a todas las versiones a partir de la 14.9 anteriores a 14.9.2 que permitía a un usuario no autorizado leer las reglas de aprobación de un proyecto privado • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-1189.json https://gitlab.com/gitlab-org/gitlab/-/issues/353718 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2022-0740
https://notcve.org/view.php?id=CVE-2022-0740
Incorrect authorization in the Asana integration's branch restriction feature in all versions of GitLab CE/EE starting from version 7.8.0 before 14.7.7, all versions starting from 14.8 before 14.8.5, all versions starting from 14.9 before 14.9.2 makes it possible to close Asana tasks from unrestricted branches. Una autorización incorrecta en la funcionalidad integration's branch restriction de Asana en todas las versiones de GitLab CE/EE a partir de la versión 7.8.0 antes de la 14.7.7, todas las versiones a partir de la 14.8 anteriores a 14.8.5, todas las versiones a partir de la 14.9 anteriores a 14.9.2 permite cerrar tareas de Asana desde ramas no restringidas • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0740.json https://gitlab.com/gitlab-org/gitlab/-/issues/349359 https://hackerone.com/reports/1411216 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2022-0741
https://notcve.org/view.php?id=CVE-2022-0741
Improper input validation in all versions of GitLab CE/EE using sendmail to send emails allowed an attacker to steal environment variables via specially crafted email addresses. Una comprobación de entrada inapropiada en todas las versiones de GitLab CE/EE usando sendmail para enviar correos electrónicos permitía a un atacante robar variables de entorno por medio de direcciones de correo electrónico especialmente diseñadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0741.json https://gitlab.com/gitlab-org/gitlab/-/issues/337601 https://hackerone.com/reports/1286317 • CWE-116: Improper Encoding or Escaping of Output •
CVSS: 7.6EPSS: 0%CPEs: 2EXPL: 0CVE-2022-0425
https://notcve.org/view.php?id=CVE-2022-0425
A DNS rebinding vulnerability in the Irker IRC Gateway integration in all versions of GitLab CE/EE since version 7.9 allows an attacker to trigger Server Side Request Forgery (SSRF) attacks. Una vulnerabilidad de reenganche de DNS en la integración de Irker IRC Gateway en todas las versiones de GitLab CE/EE desde la versión 7.9, permite a un atacante desencadenar ataques de tipo Server Side Request Forgery (SSRF) • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0425.json https://gitlab.com/gitlab-org/gitlab/-/issues/22350 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39908
https://notcve.org/view.php?id=CVE-2021-39908
In all versions of GitLab CE/EE starting from 0.8.0 before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 certain Unicode characters can be abused to commit malicious code into projects without being noticed in merge request or source code viewer UI. En todas las versiones de GitLab CE/EE a partir de la 0.8.0 antes de la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4, y en todas las versiones a partir de la 14.4 antes de la 14.4.1 se puede abusar de ciertos caracteres Unicode para enviar código malicioso a los proyectos sin que se note en la solicitud de fusión o en la interfaz del visor de código fuente • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39908.json https://gitlab.com/gitlab-org/gitlab/-/issues/337193 https://hackerone.com/reports/1280077 • CWE-94: Improper Control of Generation of Code ('Code Injection') •