Un usuario autorizado podría importar un proyecto malicioso para realizar una ejecución remota de código (RCE). Se ha asignado el identificador CVE-2022-2185 para esta vulnerabilidad crítica. Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2022-2235, CVE-2022-2230, CVE-2022-2229, CVE-2022-1983, CVE-2022-1963, CVE-2022-2228, CVE-2022-1981, CVE-2022-2243, CVE-2022-2244, CVE-2022-1954, CVE-2022-2270, CVE-2022-2250, CVE-2022-1999 y CVE-2022-2227.

GitLab ha publicado nuevas versiones que solucionan 8 vulnerabilidades, siendo 1 crítica, 2 altas, 4 medias y 1 baja.

Cuando se configura el SAML SSO de grupo, la función SCIM (disponible sólo en las suscripciones Premium+) podría permitir a cualquier propietario de un grupo Premium, invitar a usuarios arbitrarios a través de su nombre de usuario y correo electrónico, y luego cambiar los emails de esos usuarios a través de SCIM a una dirección controlada por el atacante y tomar el control de esas cuentas. También es posible que el atacante cambie el nombre del display y el del usuario de la cuenta objetivo. Se ha asignado el identificador CVE-2022-1680 para esta vulnerabilidad de severidad crítica.