CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-42326
https://notcve.org/view.php?id=CVE-2021-42326
Redmine before 4.1.5 and 4.2.x before 4.2.3 may disclose the names of users on activity views due to an insufficient access filter. Redmine versiones anteriores a 4.1.5 y versiones 4.2.x anteriores a 4.2.3, pueden revelar los nombres de usuarios en las vistas de actividad debido a un filtro de acceso insuficiente • https://lists.debian.org/debian-lts-announce/2021/10/msg00013.html https://www.redmine.org/news/133 https://www.redmine.org/projects/redmine/wiki/Changelog_4_1#415-2021-10-10 https://www.redmine.org/projects/redmine/wiki/Changelog_4_2#423-2021-10-10 https://www.redmine.org/projects/redmine/wiki/Security_Advisories •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-37156
https://notcve.org/view.php?id=CVE-2021-37156
Redmine 4.2.0 and 4.2.1 allow existing user sessions to continue upon enabling two-factor authentication for the user's account, but the intended behavior is for those sessions to be terminated. Redmine versiones 4.2.0 y 4.2.1, permiten a las sesiones de usuario existentes continuar al habilitar la autenticación de dos factores para la cuenta del usuario, pero el comportamiento previsto es que esas sesiones se terminen • https://www.redmine.org/news/132 https://www.redmine.org/projects/redmine/wiki/Security_Advisories • CWE-613: Insufficient Session Expiration •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-31863
https://notcve.org/view.php?id=CVE-2021-31863
Insufficient input validation in the Git repository integration of Redmine before 4.0.9, 4.1.x before 4.1.3, and 4.2.x before 4.2.1 allows Redmine users to read arbitrary local files accessible by the application server process. Una comprobación insuficiente de entrada en la integración del repositorio Git de Redmine versiones anteriores a 4.0.9, versiones 4.1.x anteriores a 4.1.3 y versiones 4.2.x anteriores a 4.2.1, permite a usuarios de Redmine leer archivos locales arbitrarios accesibles por el proceso del servidor de aplicaciones • https://lists.debian.org/debian-lts-announce/2021/05/msg00013.html https://www.redmine.org/news/131 https://www.redmine.org/projects/redmine/wiki/Security_Advisories • CWE-20: Improper Input Validation •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-31864
https://notcve.org/view.php?id=CVE-2021-31864
Redmine before 4.0.9, 4.1.x before 4.1.3, and 4.2.x before 4.2.1 allows attackers to bypass the add_issue_notes permission requirement by leveraging the incoming mail handler. Redmine versiones anteriores a 4.0.9, versiones 4.1.x anteriores a 4.1.3 y versiones 4.2.x anteriores a 4.2.1, permite a atacantes omitir el requisito de permiso de la función add_issue_notes al aprovechar el controlador de correo entrante • https://lists.debian.org/debian-lts-announce/2021/05/msg00013.html https://www.redmine.org/news/131 https://www.redmine.org/projects/redmine/wiki/Security_Advisories •
CVSS: 5.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-31865
https://notcve.org/view.php?id=CVE-2021-31865
Redmine before 4.0.9, 4.1.x before 4.1.3, and 4.2.x before 4.2.1 allows users to circumvent the allowed filename extensions of uploaded attachments. Redmine versiones anteriores a 4.0.9, versiones 4.1.x anteriores a 4.1.3 y versiones 4.2.x anteriores a 4.2.1, permite a usuarios omitir unas extensiones de nombre de archivo permitidas de archivos adjuntos cargados • https://lists.debian.org/debian-lts-announce/2021/05/msg00013.html https://www.redmine.org/news/131 https://www.redmine.org/projects/redmine/wiki/Security_Advisories •