CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39869
https://notcve.org/view.php?id=CVE-2021-39869
In all versions of GitLab CE/EE since version 8.9, project exports may expose trigger tokens configured on that project. En todas las versiones de GitLab CE/EE desde la versión 8.9, las exportaciones de proyectos pueden desencadenar la exposición de los tokens configurados en ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39869.json https://gitlab.com/gitlab-org/gitlab/-/issues/27044 https://hackerone.com/reports/497144 •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39867
https://notcve.org/view.php?id=CVE-2021-39867
In all versions of GitLab CE/EE since version 8.15, a DNS rebinding vulnerability in Gitea Importer may be exploited by an attacker to trigger Server Side Request Forgery (SSRF) attacks. En todas las versiones de GitLab CE/EE desde la versión 8.15, una vulnerabilidad de reenganche de DNS en Gitea Importer puede ser explotada por un atacante para desencadenar ataques de tipo Server Side Request Forgery (SSRF) • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39867.json https://gitlab.com/gitlab-org/gitlab/-/issues/214401 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39875
https://notcve.org/view.php?id=CVE-2021-39875
In all versions of GitLab CE/EE since version 13.6, it is possible to see pending invitations of any public group or public project by visiting an API endpoint. En todas las versiones de GitLab CE/EE desde la versión 13.6, es posible visualizar las invitaciones pendientes de cualquier grupo público o proyecto público al visitar un endpoint de la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39875.json https://gitlab.com/gitlab-org/gitlab/-/issues/290985 https://hackerone.com/reports/1048259 •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39882
https://notcve.org/view.php?id=CVE-2021-39882
In all versions of GitLab CE/EE, provided a user ID, anonymous users can use a few endpoints to retrieve information about any GitLab user. En todas las versiones de GitLab CE/EE, siempre que se disponga de un ID de usuario, unos usuarios anónimos pueden usar algunos endpoints para recuperar información sobre cualquier usuario de GitLab • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39882.json https://gitlab.com/gitlab-org/gitlab/-/issues/297473 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39868
https://notcve.org/view.php?id=CVE-2021-39868
In all versions of GitLab CE/EE since version 8.12, an authenticated low-privileged malicious user may create a project with unlimited repository size by modifying values in a project export. En todas las versiones de GitLab CE/EE desde la versión 8.12, un usuario malicioso autenticado con pocos privilegios puede crear un proyecto con un tamaño de repositorio ilimitado modificando los valores de una exportación de proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39868.json https://gitlab.com/gitlab-org/gitlab/-/issues/24649 https://hackerone.com/reports/420258 • CWE-732: Incorrect Permission Assignment for Critical Resource •