CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-42326
https://notcve.org/view.php?id=CVE-2021-42326
Redmine before 4.1.5 and 4.2.x before 4.2.3 may disclose the names of users on activity views due to an insufficient access filter. Redmine versiones anteriores a 4.1.5 y versiones 4.2.x anteriores a 4.2.3, pueden revelar los nombres de usuarios en las vistas de actividad debido a un filtro de acceso insuficiente • https://lists.debian.org/debian-lts-announce/2021/10/msg00013.html https://www.redmine.org/news/133 https://www.redmine.org/projects/redmine/wiki/Changelog_4_1#415-2021-10-10 https://www.redmine.org/projects/redmine/wiki/Changelog_4_2#423-2021-10-10 https://www.redmine.org/projects/redmine/wiki/Security_Advisories •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-37156
https://notcve.org/view.php?id=CVE-2021-37156
Redmine 4.2.0 and 4.2.1 allow existing user sessions to continue upon enabling two-factor authentication for the user's account, but the intended behavior is for those sessions to be terminated. Redmine versiones 4.2.0 y 4.2.1, permiten a las sesiones de usuario existentes continuar al habilitar la autenticación de dos factores para la cuenta del usuario, pero el comportamiento previsto es que esas sesiones se terminen • https://www.redmine.org/news/132 https://www.redmine.org/projects/redmine/wiki/Security_Advisories • CWE-613: Insufficient Session Expiration •