CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39866
https://notcve.org/view.php?id=CVE-2021-39866
05 Oct 2021 — A business logic error in the project deletion process in GitLab 13.6 and later allows persistent access via project access tokens. Un error de lógica de negocio en el proceso de eliminación de proyectos en GitLab versiones 13.6 y posteriores, permite el acceso persistente por medio de tokens de acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39866.json •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39872
https://notcve.org/view.php?id=CVE-2021-39872
05 Oct 2021 — In all versions of GitLab CE/EE since version 14.1, an improper access control vulnerability allows users with expired password to still access GitLab through git and API through access tokens acquired before password expiration. En todas las versiones de GitLab CE/EE desde la versión 14.1, una vulnerabilidad de control de acceso inapropiada permite a usuarios con la contraseña caducada seguir accediendo a GitLab mediante git y de la API mediante tokens de acceso adquiridos antes de la caducidad de la contr... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39872.json • CWE-287: Improper Authentication •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39894
https://notcve.org/view.php?id=CVE-2021-39894
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.0, a DNS rebinding vulnerability exists in Fogbugz importer which may be used by attackers to exploit Server Side Request Forgery attacks. En todas las versiones de GitLab CE/EE desde la versión 8.0, se presenta una vulnerabilidad de reenganche de DNS en el importador Fogbugz que puede ser usada por atacantes para explotar ataques de tipo Server Side Request Forgery • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39894.json • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39869
https://notcve.org/view.php?id=CVE-2021-39869
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.9, project exports may expose trigger tokens configured on that project. En todas las versiones de GitLab CE/EE desde la versión 8.9, las exportaciones de proyectos pueden desencadenar la exposición de los tokens configurados en ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39869.json •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39867
https://notcve.org/view.php?id=CVE-2021-39867
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.15, a DNS rebinding vulnerability in Gitea Importer may be exploited by an attacker to trigger Server Side Request Forgery (SSRF) attacks. En todas las versiones de GitLab CE/EE desde la versión 8.15, una vulnerabilidad de reenganche de DNS en Gitea Importer puede ser explotada por un atacante para desencadenar ataques de tipo Server Side Request Forgery (SSRF) • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39867.json • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39875
https://notcve.org/view.php?id=CVE-2021-39875
05 Oct 2021 — In all versions of GitLab CE/EE since version 13.6, it is possible to see pending invitations of any public group or public project by visiting an API endpoint. En todas las versiones de GitLab CE/EE desde la versión 13.6, es posible visualizar las invitaciones pendientes de cualquier grupo público o proyecto público al visitar un endpoint de la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39875.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39884
https://notcve.org/view.php?id=CVE-2021-39884
05 Oct 2021 — In all versions of GitLab EE since version 8.13, an endpoint discloses names of private groups that have access to a project to low privileged users that are part of that project. En todas las versiones de GitLab EE desde la versión 8.13, un endpoint divulga nombres de grupos privados que tienen acceso a un proyecto a usuarios con pocos privilegios que forman parte de ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39884.json •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39882
https://notcve.org/view.php?id=CVE-2021-39882
05 Oct 2021 — In all versions of GitLab CE/EE, provided a user ID, anonymous users can use a few endpoints to retrieve information about any GitLab user. En todas las versiones de GitLab CE/EE, siempre que se disponga de un ID de usuario, unos usuarios anónimos pueden usar algunos endpoints para recuperar información sobre cualquier usuario de GitLab • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39882.json • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39893
https://notcve.org/view.php?id=CVE-2021-39893
05 Oct 2021 — A potential DOS vulnerability was discovered in GitLab starting with version 9.1 that allowed parsing files without authorisation. En GitLab, a partir de la versión 9.1, se ha detectado una potencial vulnerabilidad de DOS que permitía analizar archivos sin autorización • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39893.json • CWE-862: Missing Authorization •
CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39887
https://notcve.org/view.php?id=CVE-2021-39887
05 Oct 2021 — A stored Cross-Site Scripting vulnerability in the GitLab Flavored Markdown in GitLab CE/EE version 8.4 and above allowed an attacker to execute arbitrary JavaScript code on the victim's behalf. Una vulnerabilidad de tipo Cross-Site Scripting almacenado en el GitLab Flavored Markdown en GitLab CE/EE versión 8.4 y superior, permitía a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39887.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •