Errores de GitLab de GitLab

Errores CVE de GitLab de GitLab

Fallos CVE de GitLab de GitLab Errores CVE en GitLab de GitLab

9 de marzo del 2023

Se ha descubierto un problema en GitLab...

  • CVE-2022-4331: ...EE que afecta a todas las versiones desde la 15.1 hasta la 15.7.8, todas las versiones desde la 15.8 hasta la 15.8.4 y todas las versiones desde la 15.9 hasta la 15.9.2. Si un grupo con SAML SSO habilitado se transfiere a un nuevo espacio de nombres como un grupo secundario, es posible que el responsable malicioso eliminado anteriormente o el propietario del grupo secundario aún puedan obtener acceso al grupo a través de SSO o un token SCIM para realizar acciones en el grupo.
  • CVE-2023-0050: ...que afecta a todas las versiones a partir de la 13.7 antes de la 15.7.8, a todas las versiones a partir de la 15.8 antes de la 15.8.4 y a todas las versiones a partir de la 15.9 antes de la 15.9.2. Un diagrama de Kroki especialmente diseñado podría conducir a un XSS almacenado en el lado del cliente que permite a los atacantes realizar acciones arbitrarias en nombre de las víctimas.
  • CVE-2023-1072: ...que afecta a todas las versiones a partir de la 9.0 antes de la 15.7.8, a todas las versiones a partir de la 15.8 antes de la 15.8.4 y a todas las versiones a partir de la 15.9 antes de la 15.9.2. Era posible desencadenar un ataque de agotamiento de recursos debido a un filtrado inadecuado de la cantidad de solicitudes para leer los detalles de las confirmaciones.
  • CVE-2022-3758: ...que afecta a todas las versiones a partir de la 15.5 antes de la 15.7.8, a todas las versiones a partir de la 15.8 antes de la 15.8.4 y a todas las versiones a partir de la 15.9 antes de la 15.9.2. Debido a controles de permisos inadecuados, un usuario no autorizado pudo leer, agregar o editar un fragmento privado de usuario.
  • CVE-2022-4007: ...CE/EE que afecta a todas las versiones desde la 15.3 anterior a la 15.7.8, la versión 15.8 anterior a la 15.8.4 y la versión 15.9 anterior a la 15.9.2. Se encontró una vulnerabilidad de secuencias de comandos entre sitios en el campo de título de elementos de trabajo que permitieron a los atacantes realizar acciones arbitrarias en nombre de las víctimas en el lado del cliente.
  • CVE-2022-4315: Se descubrió un problema en el analizador GitLab DAST que afecta a todas las versiones desde la 2.0 hasta la 3.0.55, que envía encabezados de solicitud personalizados con cada solicitud en la página de autenticación.

22 de febrero del 2023

  • CVE-2023-0886: La falta de validación de longitud en GitLab CE/EE que afecta a todas las versiones desde 12.4 antes de 15.6.7, 15.7 antes de 15.7.6 y 15.8 antes de 15.8.1 permite a un atacante autenticado crear una descripción de problema grande a través de GraphQL que, cuando se solicita repetidamente, satura el uso de la CPU.
  • CVE-2023-0885: Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 14.0 antes de la 15.6.7, a todas las versiones a partir de la 15.7 antes de la 15.7.6 y a todas las versiones a partir de la 15.8 antes de la 15.8.1. Era posible desencadenar un ataque DoS cargando un gráfico de Helm malicioso.
  • CVE-2023-0884: Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 14.3 antes de la 15.6.7, a todas las versiones a partir de la 15.7 antes de la 15.7.6 y a todas las versiones a partir de la 15.8 antes de la 15.8.1. Un atacante puede cargar un archivo zip de artefacto de trabajo de CI diseñado en un proyecto que usa canalizaciones secundarias dinámicas y hacer que un trabajo de sidekiq asigne mucha memoria. En las instancias de GitLab en las que Sidekiq tiene memoria limitada, esto puede provocar una denegación de servicio.

13 de febrero del 2023

  • CVE-2022-4138: Se descubrió un problema de falsificación de solicitud entre sitios en GitLab CE/EE que afecta a todas las versiones anteriores a la 15.6.7, todas las versiones a partir de la 15.7 anterior a la 15.7.6 y todas las versiones a partir de la 15.8 anterior a la 15.8.1. Un atacante podría apoderarse de un proyecto si un propietario o mantenedor carga un archivo en un proyecto malicioso.
  • CVE-2022-3411: La falta de validación de longitud en GitLab CE/EE que afecta a todas las versiones desde 12.4 antes de 15.6.7, 15.7 antes de 15.7.6 y 15.8 antes de 15.8.1 permite a un atacante autenticado crear una descripción de problema grande a través de GraphQL que, cuando se solicita repetidamente, satura el uso de la CPU.

Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 14.3 antes de la 15.6.7, a todas las versiones a partir de la 15.7 antes de la 15.7.6 y a todas las versiones a partir de la 15.8 antes de la 15.8.1.

  • CVE-2022-3759: Un atacante puede cargar un archivo zip de artefacto de trabajo de CI diseñado en un proyecto que utiliza canalizaciones secundarias dinámicas y hacer que un trabajo sidekiq asigne mucha memoria. En las instancias de GitLab en las que Sidekiq tiene memoria limitada, esto puede provocar una denegación de servicio.
  • CVE-2023-0518: Era posible desencadenar un ataque DoS cargando un gráfico de Helm malicioso.

Sitios de referencia

  • CVE-2022-3758 https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3758.json
  • CVE-2022-4315 https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-4315.json
  • CVE-2023-0884 https://gitlab.com/gitlab-org/gitlab/-/issues/379633
  • CVE-2023-0885 https://gitlab.com/gitlab-org/gitlab/-/issues/383082
  • CVE-2023-0886 https://gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-0886.json
  • CVE-2022-3759 https://gitlab.com/gitlab-org/gitlab/-/issues/379633
  • CVE-2023-0518 https://gitlab.com/gitlab-org/cves/-/blob/master/2023/CVE-2023-0518.json

Otras paginas de vulnerabilidades CVE

¿Quieres encontrar más vulnerabilidades?.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-12. Fecha publicación el 2023-02-17. Autor: Oscar olg Mapa del sitio Fuente: cve report