Vaib25Vicky

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 13.12 through 16.0.7 GitLab EE versions 16.1 through 16.1.2 GitLab EE versions 16.2 through 16.2.1 **Description** An issue has been discovered in GitLab EE, affecting the authorization procedure. This issue allows an attacker to run pipeline jobs as an arbitrary user via scheduled security scan policies. The exploitation of this issue may enable a remote attacker to launch tasks in the name of any user. **Recommendations** For versions 13.12 through 16.0.7, update to version 16.0.8 or later. For versions 16.1 through 16.1.2, update to version 16.1.3 or later. For versions 16.2 through 16.2.1, update to version 16.2.2 or later. As a temporary workaround, consider restricting access to scheduled security scan policies until a patch is available.

**Name of the Vulnerable Software and Affected Versions** GitLab versions 12.8 through 15.7.8 GitLab versions 15.8 through 15.8.4 GitLab versions 15.9 through 15.9.2 **Description** The issue could allow a user to unmask the Discord Webhook URL through viewing the raw API response. **Recommendations** For versions 12.8 through 15.7.8, update to version 15.7.8 or later. For versions 15.8 through 15.8.4, update to version 15.8.4 or later. For versions 15.9 through 15.9.2, update to version 15.9.2 or later.

**Name of the Vulnerable Software and Affected Versions** GitLab EE versions 15.1 through 15.7.7 GitLab EE versions 15.8 through 15.8.3 GitLab EE versions 15.9 through 15.9.1 **Description** An issue has been discovered in GitLab EE. If a group with SAML SSO enabled is transferred to a new namespace as a child group, it's possible that a previously removed malicious maintainer or owner of the child group can still gain access to the group via SSO or a SCIM token to perform actions on the group. **Recommendations** For GitLab EE versions 15.1 through 15.7.7, update to version 15.7.8 or later. For GitLab EE versions 15.8 through 15.8.3, update to version 15.8.4 or later. For GitLab EE versions 15.9 through 15.9.1, update to version 15.9.2 or later.

**Nome do software vulnerável e versões afetadas** Versões do GitLab CE/EE anteriores à 15.0.5 Versões do GitLab CE/EE 15.1 anteriores à 15.1.4 Versões do GitLab CE/EE 15.2 anteriores à 15.2.1 **Descrição** Foi descoberta uma falha que pode permitir o acesso a um projeto privado por meio de um convite por e-mail, utilizando o endereço de e-mail de outro usuário como um e-mail secundário não verificado. **Recomendações** Para versões anteriores à 15.0.5, atualize para a versão 15.0.5 ou posterior. Para versões 15.1 anteriores à 15.1.4, atualize para a versão 15.1.4 ou posterior. Para versões 15.2 anteriores à 15.2.1, atualize para a versão 15.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE anteriores à 15.0.5 Versões do GitLab EE 15.1 anteriores à 15.1.4 Versões do GitLab EE 15.2 anteriores à 15.2.1 **Descrição** O problema está relacionado às assinaturas de pipeline no GitLab EE, onde novos pipelines são acionados com a pessoa que criou a tag como criador do pipeline, em vez do autor da assinatura. **Recomendações** Para versões anteriores à 15.0.5, atualize para a versão 15.0.5 ou posterior. Para versões 15.1 anteriores à 15.1.4, atualize para a versão 15.1.4 ou posterior. Para versões 15.2 anteriores à 15.2.1, atualize para a versão 15.2.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab CE/EE anteriores à 14.10.5 Versão 15.0 do GitLab CE/EE anterior à 15.0.4 Versão 15.1 do GitLab CE/EE anterior à 15.1.1 **Descrição** O problema está relacionado a um controle de acesso inadequado na API de tarefas do runner, permitindo que um mantenedor anterior de um projeto com um runner específico acesse metadados de tarefas e projetos sob certas condições. **Recomendações** Para versões anteriores à 14.10.5, atualize para a versão 14.10.5 ou posterior. Para a versão 15.0 anterior à 15.0.4, atualize para a versão 15.0.4 ou posterior. Para a versão 15.1 anterior à 15.1.1, atualize para a versão 15.1.1 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab CE/EE versões 10.7 a 14.3.5 GitLab CE/EE versões 14.4 a 14.4.3 GitLab CE/EE versões 14.5 a 14.5.1 **Descrição** O problema está relacionado a um controle de acesso inadequado no GitLab CE/EE, permitindo que um invasor com um token de implantação acesse o wiki desativado de um projeto. **Recomendações** Para as versões 10.7 a 14.3.5, atualize para a versão 14.3.6 ou posterior. Para as versões 14.4 a 14.4.3, atualize para a versão 14.4.4 ou posterior. Para as versões 14.5 a 14.5.1, atualize para a versão 14.5.2 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do GitLab EE 11.3 a 14.2.6 Versões do GitLab EE 14.3 a 14.3.4 Versões do GitLab EE 14.4 a 14.4.1 **Descrição** O problema está relacionado à falta de verificação de propriedade do endereço de e-mail no recurso CODEOWNERS. Isso permite que um invasor contorne a exigência de aprovação de solicitação de mesclagem do CODEOWNERS em circunstâncias raras. **Recomendações** Para as versões 11.3 a 14.2.6, atualize para a versão 14.2.6 ou posterior. Para as versões 14.3 a 14.3.4, atualize para a versão 14.3.4 ou posterior. Para as versões 14.4 a 14.4.1, atualize para a versão 14.4.1 ou posterior.

**Nome do software vulnerável e versões afetadas** GitLab EE versões 13.1 e posteriores **Descrição** O problema está relacionado a uma autorização inadequada no recurso de relatório de vulnerabilidades, permitindo que um relator acesse dados de vulnerabilidades. Isso poderia levar a um acesso não autorizado a dados confidenciais. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa falha tenha sido explorada. **Recomendações** Para as versões 13.1 e posteriores do GitLab EE, atualize para uma versão que inclua uma correção para o problema de autorização inadequada no recurso de relatório de vulnerabilidades. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** GitLab EE versões 13.4 e posteriores **Descrição** O problema está relacionado a uma falha na autorização, permitindo que um usuário que anteriormente possuía acesso necessário para acionar implantações em ambientes protegidos, sob condições específicas, continue a fazê-lo mesmo após a remoção de seu acesso. Isso pode levar a problemas de integridade de dados e, potencialmente, causar uma negação de serviço. **Recomendações** Para as versões 13.4 e posteriores do GitLab EE, atualize para uma versão que inclua a correção para este problema, a fim de evitar a exploração. Como solução alternativa temporária, considere restringir o acesso a ambientes protegidos para minimizar o risco de implantações não autorizadas.

**Nome do software vulnerável e versões afetadas** Versões do GitLab anteriores à 12.10.13 **Descrição** Foi descoberta uma falha que permitia que um membro do projeto com permissões limitadas visualizasse o painel de segurança do projeto. **Recomendações** Para versões anteriores à 12.10.13, atualize para a versão 12.10.13 ou posterior para resolver o problema.