{
  "affected": [],
  "aliases": [
    "CVE-2022-3381"
  ],
  "database_specific": {
    "cwe_ids": [
      "CWE-601"
    ],
    "github_reviewed": false,
    "github_reviewed_at": null,
    "nvd_published_at": "2023-03-09T21:15:00Z",
    "severity": "MODERATE"
  },
  "details": "An issue has been discovered in GitLab affecting all versions starting from 10.0 to 15.7.8, 15.8 prior to 15.8.4 and 15.9 prior to 15.9.2. A crafted URL could be used to redirect users to arbitrary sites",
  "id": "GHSA-xpwh-4xmj-5wrc",
  "modified": "2023-03-15T18:30:27Z",
  "published": "2023-03-09T21:30:18Z",
  "references": [
    {
      "type": "ADVISORY",
      "url": "https://nvd.nist.gov/vuln/detail/CVE-2022-3381"
    },
    {
      "type": "WEB",
      "url": "https://hackerone.com/reports/1711497"
    },
    {
      "type": "WEB",
      "url": "https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3381.json"
    },
    {
      "type": "WEB",
      "url": "https://gitlab.com/gitlab-org/gitlab/-/issues/376046"
    }
  ],
  "schema_version": "1.4.0",
  "severity": [
    {
      "score": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
      "type": "CVSS_V3"
    }
  ]
}

{
  "document": {
    "aggregate_severity": {
      "text": "hoch"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "GitLab ist eine Webanwendung zur Versionsverwaltung f\u00fcr Softwareprojekte auf Basis von git.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein entfernter, authentisierter Angreifer kann mehrere Schwachstellen in GitLab ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- UNIX\n- Linux\n- Windows\n- Sonstiges",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2023-0564 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0564.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2023-0564 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0564"
      },
      {
        "category": "external",
        "summary": "GitLab Security Release: 15.9.2, 15.8.4, and 15.7.8 vom 2023-03-02",
        "url": "https://about.gitlab.com/releases/2023/03/02/security-release-gitlab-15-9-2-released/"
      }
    ],
    "source_lang": "en-US",
    "title": "GitLab: Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2023-03-02T23:00:00.000+00:00",
      "generator": {
        "date": "2024-02-15T17:18:00.721+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.0"
        }
      },
      "id": "WID-SEC-W-2023-0564",
      "initial_release_date": "2023-03-02T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2023-03-02T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_name",
                "name": "Open Source GitLab \u003c 15.9.2",
                "product": {
                  "name": "Open Source GitLab \u003c 15.9.2",
                  "product_id": "T026627",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:gitlab:gitlab:15.9.2"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Open Source GitLab \u003c 15.8.4",
                "product": {
                  "name": "Open Source GitLab \u003c 15.8.4",
                  "product_id": "T026628",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:gitlab:gitlab:15.8.4"
                  }
                }
              },
              {
                "category": "product_name",
                "name": "Open Source GitLab \u003c 15.7.8",
                "product": {
                  "name": "Open Source GitLab \u003c 15.7.8",
                  "product_id": "T026629",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:gitlab:gitlab:15.7.8"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "GitLab"
          }
        ],
        "category": "vendor",
        "name": "Open Source"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2023-1084",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2023-1084"
    },
    {
      "cve": "CVE-2023-1072",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2023-1072"
    },
    {
      "cve": "CVE-2023-0483",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2023-0483"
    },
    {
      "cve": "CVE-2023-0223",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2023-0223"
    },
    {
      "cve": "CVE-2023-0050",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2023-0050"
    },
    {
      "cve": "CVE-2022-4462",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2022-4462"
    },
    {
      "cve": "CVE-2022-4331",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2022-4331"
    },
    {
      "cve": "CVE-2022-4289",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2022-4289"
    },
    {
      "cve": "CVE-2022-4007",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2022-4007"
    },
    {
      "cve": "CVE-2022-3758",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2022-3758"
    },
    {
      "cve": "CVE-2022-3381",
      "notes": [
        {
          "category": "description",
          "text": "In GitLab existieren mehrere Schwachstellen. Diese bestehen aufgrund ungen\u00fcgender Eingabe\u00fcberpr\u00fcfungen, unsachgem\u00e4\u00dfer Berechtigungspr\u00fcfungen und Rechtevergaben, Open Redirect Problemen und ungesicherter Speicherung von Informationen. Ein entfernter, anonymer oder authentisierter Angreifer kann diese Schwachstellen ausnutzen, um Informationen offenzulegen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder sonstige Auswirkungen zu verursachen."
        }
      ],
      "release_date": "2023-03-02T23:00:00Z",
      "title": "CVE-2022-3381"
    }
  ]
}

{
  "GSD": {
    "alias": "CVE-2022-3381",
    "id": "GSD-2022-3381"
  },
  "gsd": {
    "metadata": {
      "exploitCode": "unknown",
      "remediation": "unknown",
      "reportConfidence": "confirmed",
      "type": "vulnerability"
    },
    "osvSchema": {
      "aliases": [
        "CVE-2022-3381"
      ],
      "details": "An issue has been discovered in GitLab affecting all versions starting from 10.0 to 15.7.8, 15.8 prior to 15.8.4 and 15.9 prior to 15.9.2. A crafted URL could be used to redirect users to arbitrary sites",
      "id": "GSD-2022-3381",
      "modified": "2023-12-13T01:19:40.469265Z",
      "schema_version": "1.4.0"
    }
  },
  "namespaces": {
    "cve.org": {
      "CVE_data_meta": {
        "ASSIGNER": "cve@gitlab.com",
        "ID": "CVE-2022-3381",
        "STATE": "PUBLIC"
      },
      "affects": {
        "vendor": {
          "vendor_data": [
            {
              "product": {
                "product_data": [
                  {
                    "product_name": "GitLab",
                    "version": {
                      "version_data": [
                        {
                          "version_value": "\u003e=10.0, \u003c15.7.8"
                        },
                        {
                          "version_value": "\u003e=15.8, \u003c15.8.4"
                        },
                        {
                          "version_value": "\u003e=15.9, \u003c15.9.2"
                        }
                      ]
                    }
                  }
                ]
              },
              "vendor_name": "GitLab"
            }
          ]
        }
      },
      "credit": [
        {
          "lang": "eng",
          "value": "Thanks [burpheart](https://hackerone.com/burpheart) for reporting this vulnerability through our HackerOne bug bounty program"
        }
      ],
      "data_format": "MITRE",
      "data_type": "CVE",
      "data_version": "4.0",
      "description": {
        "description_data": [
          {
            "lang": "eng",
            "value": "An issue has been discovered in GitLab affecting all versions starting from 10.0 to 15.7.8, 15.8 prior to 15.8.4 and 15.9 prior to 15.9.2. A crafted URL could be used to redirect users to arbitrary sites"
          }
        ]
      },
      "impact": {
        "cvss": {
          "attackComplexity": "LOW",
          "attackVector": "NETWORK",
          "availabilityImpact": "NONE",
          "baseScore": 4.2,
          "baseSeverity": "MEDIUM",
          "confidentialityImpact": "NONE",
          "integrityImpact": "LOW",
          "privilegesRequired": "NONE",
          "scope": "UNCHANGED",
          "userInteraction": "REQUIRED",
          "vectorString": "AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N",
          "version": "3.1"
        }
      },
      "problemtype": {
        "problemtype_data": [
          {
            "description": [
              {
                "lang": "eng",
                "value": "Url redirection to untrusted site (\u0027open redirect\u0027) in GitLab"
              }
            ]
          }
        ]
      },
      "references": {
        "reference_data": [
          {
            "name": "https://gitlab.com/gitlab-org/gitlab/-/issues/376046",
            "refsource": "MISC",
            "url": "https://gitlab.com/gitlab-org/gitlab/-/issues/376046"
          },
          {
            "name": "https://hackerone.com/reports/1711497",
            "refsource": "MISC",
            "url": "https://hackerone.com/reports/1711497"
          },
          {
            "name": "https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3381.json",
            "refsource": "CONFIRM",
            "url": "https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3381.json"
          }
        ]
      }
    },
    "nvd.nist.gov": {
      "configurations": {
        "CVE_data_version": "4.0",
        "nodes": [
          {
            "children": [],
            "cpe_match": [
              {
                "cpe23Uri": "cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*",
                "cpe_name": [],
                "versionEndExcluding": "15.9.2",
                "versionStartIncluding": "15.9.0",
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*",
                "cpe_name": [],
                "versionEndExcluding": "15.9.2",
                "versionStartIncluding": "15.9.0",
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*",
                "cpe_name": [],
                "versionEndExcluding": "15.8.4",
                "versionStartIncluding": "15.8.0",
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*",
                "cpe_name": [],
                "versionEndExcluding": "15.8.4",
                "versionStartIncluding": "15.8.0",
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:*",
                "cpe_name": [],
                "versionEndExcluding": "15.7.8",
                "versionStartIncluding": "10.0.0",
                "vulnerable": true
              },
              {
                "cpe23Uri": "cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:*",
                "cpe_name": [],
                "versionEndExcluding": "15.7.8",
                "versionStartIncluding": "10.0.0",
                "vulnerable": true
              }
            ],
            "operator": "OR"
          }
        ]
      },
      "cve": {
        "CVE_data_meta": {
          "ASSIGNER": "cve@gitlab.com",
          "ID": "CVE-2022-3381"
        },
        "data_format": "MITRE",
        "data_type": "CVE",
        "data_version": "4.0",
        "description": {
          "description_data": [
            {
              "lang": "en",
              "value": "An issue has been discovered in GitLab affecting all versions starting from 10.0 to 15.7.8, 15.8 prior to 15.8.4 and 15.9 prior to 15.9.2. A crafted URL could be used to redirect users to arbitrary sites"
            }
          ]
        },
        "problemtype": {
          "problemtype_data": [
            {
              "description": [
                {
                  "lang": "en",
                  "value": "CWE-601"
                }
              ]
            }
          ]
        },
        "references": {
          "reference_data": [
            {
              "name": "https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3381.json",
              "refsource": "CONFIRM",
              "tags": [
                "Vendor Advisory"
              ],
              "url": "https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-3381.json"
            },
            {
              "name": "https://gitlab.com/gitlab-org/gitlab/-/issues/376046",
              "refsource": "MISC",
              "tags": [
                "Broken Link"
              ],
              "url": "https://gitlab.com/gitlab-org/gitlab/-/issues/376046"
            },
            {
              "name": "https://hackerone.com/reports/1711497",
              "refsource": "MISC",
              "tags": [
                "Permissions Required"
              ],
              "url": "https://hackerone.com/reports/1711497"
            }
          ]
        }
      },
      "impact": {
        "baseMetricV3": {
          "cvssV3": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "NONE",
            "baseScore": 6.1,
            "baseSeverity": "MEDIUM",
            "confidentialityImpact": "LOW",
            "integrityImpact": "LOW",
            "privilegesRequired": "NONE",
            "scope": "CHANGED",
            "userInteraction": "REQUIRED",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
            "version": "3.1"
          },
          "exploitabilityScore": 2.8,
          "impactScore": 2.7
        }
      },
      "lastModifiedDate": "2023-03-15T16:44Z",
      "publishedDate": "2023-03-09T21:15Z"
    }
  }
}