Jimenoon

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 13.7 a 15.0.4 GitLab CE/EE versões 15.1 a 15.1.3 GitLab CE/EE versões 15.2 a 15.2.0 **Descrição** O problema está relacionado a uma verificação inadequada do controle de acesso, permitindo que um usuário autenticado mal-intencionado visualize a impressão digital pública e o nome da Chave de Implantação de um projeto público quando essa chave possui permissão de gravação. Observa-se que a chave privada não é solicitada nem armazenada pelo GitLab. **Recomendações** Para as versões 13.7 a 15.0.4 do GitLab CE/EE, atualize para a versão 15.0.5 ou posterior. Para as versões 15.1 a 15.1.3 do GitLab CE/EE, atualize para a versão 15.1.4 ou posterior. Para as versões 15.2 a 15.2.0 do GitLab CE/EE, atualize para a versão 15.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab CE/EE anteriores à 14.8.6 Versões do GitLab CE/EE de 14.9.0 a 14.9.4 Versão 14.10.0 do GitLab CE/EE **Descrição** Foi detectada uma falha de autorização, permitindo que membros convidados do projeto acessem o log de rastreamento de tarefas quando este estiver habilitado. **Recomendações** Para versões anteriores à 14.8.6, atualize para a versão 14.8.6 ou posterior. Para as versões 14.9.0 a 14.9.3, atualize para a versão 14.9.4 ou posterior. Para a versão 14.10.0, atualize para uma versão posterior à 14.10.0.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 12.1 a 14.7.7 GitLab CE/EE versões 14.8 a 14.8.5 GitLab CE/EE versões 14.9 a 14.9.2 **Descrição** Era possível realizar um ataque SSRF cego por meio do recurso de espelhamento de repositório. **Recomendações** Para as versões 12.1 a 14.7.7, atualize para a versão 14.7.7 ou posterior. Para as versões 14.8 a 14.8.5, atualize para a versão 14.8.5 ou posterior. Para as versões 14.9 a 14.9.2, atualize para a versão 14.9.2 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 13.1 a 14.2.6 GitLab CE/EE versões 14.3 a 14.3.4 GitLab CE/EE versões 14.4 a 14.4.1 **Descrição** O problema está relacionado a uma vulnerabilidade de controle de acesso inadequado na API GraphQL. Essa vulnerabilidade permite que o criador de uma solicitação de mesclagem resolva discussões e aplique sugestões após o proprietário do projeto ter bloqueado a solicitação de mesclagem. **Recomendações** Para as versões 13.1 a 14.2.6 do GitLab CE/EE, atualize para a versão 14.2.6 ou posterior. Para as versões 14.3 a 14.3.4 do GitLab CE/EE, atualize para a versão 14.3.4 ou posterior. Para as versões 14.4 a 14.4.1 do GitLab CE/EE, atualize para a versão 14.4.1 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab EE versões 12.2 e posteriores **Descrição** Uma mensagem de erro detalhada no GitLab EE poderia revelar o endereço de e-mail privado de um usuário convidado para um grupo. Esse problema afeta todas as versões a partir da 12.2 e permite que um invasor remoto acesse dados confidenciais. **Recomendações** Para as versões 12.2 e posteriores do GitLab EE, atualize para uma versão que inclua uma correção para este problema, a fim de evitar a divulgação de endereços de e-mail privados. Como solução alternativa temporária, considere restringir a visibilidade das mensagens de erro para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 13.3 e posteriores **Descrição** O problema está relacionado a uma falha na autorização do GitLab, permitindo que os usuários visualizem e excluam tokens de representação criados pelos administradores para suas contas. Isso pode ser explorado por um invasor remoto para acessar e comprometer dados confidenciais. **Recomendações** Para as versões 13.3 e posteriores do GitLab CE/EE, atualize para uma versão que inclua uma correção para este problema, a fim de impedir que os usuários visualizem e excluam tokens de representação criados pelos administradores para suas contas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.