Justas_Bon

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE anteriores à 15.0.5 Versões do GitLab EE 15.1 a 15.1.4 Versões do GitLab EE 15.2 a 15.2.1 **Descrição** Foi descoberta uma falha no GitLab EE em que membros convidados por e-mail podem conseguir ingressar em um projeto mesmo após o proprietário do grupo ter ativado a configuração para impedir que membros sejam adicionados a projetos em um grupo, caso o convite tenha sido enviado antes da ativação da configuração. **Recomendações** Para versões anteriores à 15.0.5, atualize para a versão 15.0.5 ou posterior. Para as versões 15.1 a 15.1.4, atualize para a versão 15.1.4 ou posterior. Para as versões 15.2 a 15.2.1, atualize para a versão 15.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 8.12 a 14.8.5 GitLab CE/EE versões 14.9.0 a 14.9.3 GitLab CE/EE versão 14.10.0 **Descrição** O problema está relacionado à validação inadequada de entradas, permitindo que um desenvolvedor leia variáveis CI/CD protegidas de grupos ou projetos ao importar um projeto malicioso. **Recomendações** Para as versões 8.12 a 14.8.5 do GitLab CE/EE, atualize para a versão 14.8.6 ou posterior. Para as versões 14.9.0 a 14.9.3 do GitLab CE/EE, atualize para a versão 14.9.4 ou posterior. Para a versão 14.10.0 do GitLab CE/EE, atualize para uma versão que contenha a correção para este problema.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 11.0 a 14.3.6 GitLab CE/EE versões 14.4 a 14.4.4 GitLab CE/EE versões 14.5 a 14.5.2 **Descrição** Uma falha na validação de permissões no GitLab CE/EE permitia que membros de grupo com a função de desenvolvedor elevassem seus privilégios para mantenedor nos projetos que importassem. Este problema está relacionado a uma falha na validação de permissões. **Recomendações** Para as versões 11.0 a 14.3.6, atualize para a versão 14.3.6 ou posterior para resolver o problema. Para as versões 14.4 a 14.4.4, atualize para a versão 14.4.4 ou posterior para resolver o problema. Para as versões 14.5 a 14.5.2, atualize para a versão 14.5.2 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: GitLab CE/EE versões 8.0 e posteriores Descrição: A vulnerabilidade permite que um invasor configure agendamentos de pipeline para ficarem ativos na exportação de um projeto. Quando um proprietário desavisado importa esse projeto, os pipelines ficam ativos por padrão, o que pode levar à divulgação de informações caso o projeto seja importado de uma fonte não confiável. Recomendações: Para as versões 8.0 e posteriores do GitLab CE/EE, considere desativar as programações de pipeline por padrão para projetos importados, a fim de minimizar o risco de divulgação de informações. Como solução temporária, restrinja a capacidade de importar projetos de fontes não confiáveis até que uma solução mais permanente esteja disponível.