CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39875
https://notcve.org/view.php?id=CVE-2021-39875
05 Oct 2021 — In all versions of GitLab CE/EE since version 13.6, it is possible to see pending invitations of any public group or public project by visiting an API endpoint. En todas las versiones de GitLab CE/EE desde la versión 13.6, es posible visualizar las invitaciones pendientes de cualquier grupo público o proyecto público al visitar un endpoint de la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39875.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39884
https://notcve.org/view.php?id=CVE-2021-39884
05 Oct 2021 — In all versions of GitLab EE since version 8.13, an endpoint discloses names of private groups that have access to a project to low privileged users that are part of that project. En todas las versiones de GitLab EE desde la versión 8.13, un endpoint divulga nombres de grupos privados que tienen acceso a un proyecto a usuarios con pocos privilegios que forman parte de ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39884.json •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39882
https://notcve.org/view.php?id=CVE-2021-39882
05 Oct 2021 — In all versions of GitLab CE/EE, provided a user ID, anonymous users can use a few endpoints to retrieve information about any GitLab user. En todas las versiones de GitLab CE/EE, siempre que se disponga de un ID de usuario, unos usuarios anónimos pueden usar algunos endpoints para recuperar información sobre cualquier usuario de GitLab • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39882.json • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39893
https://notcve.org/view.php?id=CVE-2021-39893
05 Oct 2021 — A potential DOS vulnerability was discovered in GitLab starting with version 9.1 that allowed parsing files without authorisation. En GitLab, a partir de la versión 9.1, se ha detectado una potencial vulnerabilidad de DOS que permitía analizar archivos sin autorización • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39893.json • CWE-862: Missing Authorization •
CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39887
https://notcve.org/view.php?id=CVE-2021-39887
05 Oct 2021 — A stored Cross-Site Scripting vulnerability in the GitLab Flavored Markdown in GitLab CE/EE version 8.4 and above allowed an attacker to execute arbitrary JavaScript code on the victim's behalf. Una vulnerabilidad de tipo Cross-Site Scripting almacenado en el GitLab Flavored Markdown en GitLab CE/EE versión 8.4 y superior, permitía a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39887.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39868
https://notcve.org/view.php?id=CVE-2021-39868
04 Oct 2021 — In all versions of GitLab CE/EE since version 8.12, an authenticated low-privileged malicious user may create a project with unlimited repository size by modifying values in a project export. En todas las versiones de GitLab CE/EE desde la versión 8.12, un usuario malicioso autenticado con pocos privilegios puede crear un proyecto con un tamaño de repositorio ilimitado modificando los valores de una exportación de proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39868.json • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39874
https://notcve.org/view.php?id=CVE-2021-39874
04 Oct 2021 — In all versions of GitLab CE/EE since version 11.0, the requirement to enforce 2FA is not honored when using git commands. En todas las versiones de GitLab CE/EE a partir de la versión 11.0, no se cumple el requisito de aplicar 2FA cuando son usados comandos git • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39874.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39871
https://notcve.org/view.php?id=CVE-2021-39871
04 Oct 2021 — In all versions of GitLab CE/EE since version 13.0, an instance that has the setting to disable Bitbucket Server import enabled is bypassed by an attacker making a crafted API call. En todas las versiones de GitLab CE/EE desde la versión 13.0, una instancia que tenga activada la opción de deshabilitar la importación de Bitbucket Server puede ser omitida por un atacante que realice una llamada a la API diseñada • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39871.json •
CVSS: 4.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39899
https://notcve.org/view.php?id=CVE-2021-39899
04 Oct 2021 — In all versions of GitLab CE/EE, an attacker with physical access to a user’s machine may brute force the user’s password via the change password function. There is a rate limit in place, but the attack may still be conducted by stealing the session id from the physical compromise of the account and splitting the attack over several IP addresses and passing in the compromised session value from these various locations. En todas las versiones de GitLab CE/EE, un atacante con acceso físico a la máquina de un ... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39899.json • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39900
https://notcve.org/view.php?id=CVE-2021-39900
04 Oct 2021 — Information disclosure from SendEntry in GitLab starting with 10.8 allowed exposure of full URL of artifacts stored in object-storage with a temporary availability via Rails logs. Una divulgación de información de SendEntry en GitLab a partir de la versión 10.8, permitía la exposición de la URL completa de los artefactos almacenados en el almacenamiento de objetos con una disponibilidad temporal por medio de los registros de Rails • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39900.json • CWE-532: Insertion of Sensitive Information into Log File •