CVE-2021-39873
https://notcve.org/view.php?id=CVE-2021-39873
In all versions of GitLab CE/EE, there exists a content spoofing vulnerability which may be leveraged by attackers to trick users into visiting a malicious website by spoofing the content in an error response. En todas las versiones de GitLab CE/EE, se presenta una vulnerabilidad de suplantación de contenido que puede ser aprovechada por los atacantes para engañar a usuarios para que visiten un sitio web malicioso suplantando el contenido de una respuesta de error • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39873.json https://gitlab.com/gitlab-org/gitlab/-/issues/27241 https://hackerone.com/reports/504961 •
CVE-2021-22245
https://notcve.org/view.php?id=CVE-2021-22245
Improper validation of commit author in GitLab CE/EE affecting all versions allowed an attacker to make several pages in a project impossible to view Una comprobación inapropiada del autor de los commit en GitLab CE/EE, afectando a todas las versiones, permitía a un atacante imposibilitar la visualización de varias páginas de un proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22245.json https://gitlab.com/gitlab-org/gitlab/-/issues/255612 https://hackerone.com/reports/987689 • CWE-20: Improper Input Validation •
CVE-2021-22246
https://notcve.org/view.php?id=CVE-2021-22246
A vulnerability was discovered in GitLab versions before 14.0.2, 13.12.6, 13.11.6. GitLab Webhook feature could be abused to perform denial of service attacks. Se ha detectado una vulnerabilidad en GitLab versiones anteriores a 14.0.2, 13.12.6 y 13.11.6. La funcionalidad GitLab Webhook podría ser abusada para llevar a cabo ataques de denegación de servicio. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22246.json https://gitlab.com/gitlab-org/gitlab/-/issues/280633 https://hackerone.com/reports/1029269 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVE-2021-22227
https://notcve.org/view.php?id=CVE-2021-22227
A reflected cross-site script vulnerability in GitLab before versions 13.11.6, 13.12.6 and 14.0.2 allowed an attacker to send a malicious link to a victim and trigger actions on their behalf if they clicked it Una vulnerabilidad de tipo cross-site script reflejada en GitLab versiones anteriores a 13.11.6, 13.12.6 y 14.0.2, permitía a un atacante enviar un enlace malicioso a una víctima y desencadenar acciones en su nombre si hacían clic en él • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22227.json https://gitlab.com/gitlab-org/gitlab/-/issues/212887 https://hackerone.com/reports/834555 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-22228
https://notcve.org/view.php?id=CVE-2021-22228
An issue has been discovered in GitLab affecting all versions before 13.11.6, all versions starting from 13.12 before 13.12.6, and all versions starting from 14.0 before 14.0.2. Improper access control allows unauthorised users to access project details using Graphql. Se ha descubierto un problema en GitLab que afecta a todas las versiones anteriores a la 13.11.6, a todas las versiones a partir de la 13.12 antes de la 13.12.6 y a todas las versiones a partir de la 14.0 antes de la 14.0.2. Un control de acceso inadecuado permite a usuarios no autorizados acceder a los detalles del proyecto utilizando Graphql • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22228.json https://gitlab.com/gitlab-org/gitlab/-/issues/332605 https://hackerone.com/reports/1192460 •