CVE-2021-39878
https://notcve.org/view.php?id=CVE-2021-39878
A stored Reflected Cross-Site Scripting vulnerability in the Jira integration in GitLab version 13.0 up to 14.3.1 allowed an attacker to execute arbitrary javascript code. Una vulnerabilidad de tipo Cross-Site Scripting reflejado almacenado en la integración de Jira en GitLab versión 13.0 hasta 14.3.1, permitía a un atacante ejecutar código javascript arbitrario • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39878.json https://gitlab.com/gitlab-org/gitlab/-/issues/334043 https://hackerone.com/reports/1194254 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-39887
https://notcve.org/view.php?id=CVE-2021-39887
A stored Cross-Site Scripting vulnerability in the GitLab Flavored Markdown in GitLab CE/EE version 8.4 and above allowed an attacker to execute arbitrary JavaScript code on the victim's behalf. Una vulnerabilidad de tipo Cross-Site Scripting almacenado en el GitLab Flavored Markdown en GitLab CE/EE versión 8.4 y superior, permitía a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39887.json https://gitlab.com/gitlab-org/gitlab/-/issues/332903 https://hackerone.com/reports/1218174 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-39868
https://notcve.org/view.php?id=CVE-2021-39868
In all versions of GitLab CE/EE since version 8.12, an authenticated low-privileged malicious user may create a project with unlimited repository size by modifying values in a project export. En todas las versiones de GitLab CE/EE desde la versión 8.12, un usuario malicioso autenticado con pocos privilegios puede crear un proyecto con un tamaño de repositorio ilimitado modificando los valores de una exportación de proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39868.json https://gitlab.com/gitlab-org/gitlab/-/issues/24649 https://hackerone.com/reports/420258 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2021-22259
https://notcve.org/view.php?id=CVE-2021-22259
A potential DOS vulnerability was discovered in GitLab EE starting with version 12.6 due to lack of pagination in dependencies API. Se ha detectado una potencial vulnerabilidad de DOS en GitLab EE a partir de la versión 12.6, debido a una falta de paginación en la API de dependencias • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22259.json https://gitlab.com/gitlab-org/gitlab/-/issues/335146 •
CVE-2021-39874
https://notcve.org/view.php?id=CVE-2021-39874
In all versions of GitLab CE/EE since version 11.0, the requirement to enforce 2FA is not honored when using git commands. En todas las versiones de GitLab CE/EE a partir de la versión 11.0, no se cumple el requisito de aplicar 2FA cuando son usados comandos git • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39874.json https://gitlab.com/gitlab-org/gitlab/-/issues/222527 https://hackerone.com/reports/898477 •