CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39913
https://notcve.org/view.php?id=CVE-2021-39913
Accidental logging of system root password in the migration log in all versions of GitLab CE/EE before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows an attacker with local file system access to obtain system root-level privileges El registro accidental de la contraseña de root del sistema en el registro de migración en todas las versiones de GitLab CE/EE anteriores a la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante con acceso al sistema de archivos local obtener privilegios a nivel de root del sistema • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39913.json https://gitlab.com/gitlab-org/gitlab/-/issues/28074 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39866
https://notcve.org/view.php?id=CVE-2021-39866
A business logic error in the project deletion process in GitLab 13.6 and later allows persistent access via project access tokens. Un error de lógica de negocio en el proceso de eliminación de proyectos en GitLab versiones 13.6 y posteriores, permite el acceso persistente por medio de tokens de acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39866.json https://gitlab.com/gitlab-org/gitlab/-/issues/333175 https://hackerone.com/reports/1199561 •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39872
https://notcve.org/view.php?id=CVE-2021-39872
In all versions of GitLab CE/EE since version 14.1, an improper access control vulnerability allows users with expired password to still access GitLab through git and API through access tokens acquired before password expiration. En todas las versiones de GitLab CE/EE desde la versión 14.1, una vulnerabilidad de control de acceso inapropiada permite a usuarios con la contraseña caducada seguir accediendo a GitLab mediante git y de la API mediante tokens de acceso adquiridos antes de la caducidad de la contraseña • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39872.json https://gitlab.com/gitlab-org/gitlab/-/issues/337954 https://hackerone.com/reports/1285226 • CWE-287: Improper Authentication •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39869
https://notcve.org/view.php?id=CVE-2021-39869
In all versions of GitLab CE/EE since version 8.9, project exports may expose trigger tokens configured on that project. En todas las versiones de GitLab CE/EE desde la versión 8.9, las exportaciones de proyectos pueden desencadenar la exposición de los tokens configurados en ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39869.json https://gitlab.com/gitlab-org/gitlab/-/issues/27044 https://hackerone.com/reports/497144 •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39867
https://notcve.org/view.php?id=CVE-2021-39867
In all versions of GitLab CE/EE since version 8.15, a DNS rebinding vulnerability in Gitea Importer may be exploited by an attacker to trigger Server Side Request Forgery (SSRF) attacks. En todas las versiones de GitLab CE/EE desde la versión 8.15, una vulnerabilidad de reenganche de DNS en Gitea Importer puede ser explotada por un atacante para desencadenar ataques de tipo Server Side Request Forgery (SSRF) • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39867.json https://gitlab.com/gitlab-org/gitlab/-/issues/214401 • CWE-918: Server-Side Request Forgery (SSRF) •