CVSS: 8.6EPSS: 13%CPEs: 3EXPL: 5CVE-2021-22214
https://notcve.org/view.php?id=CVE-2021-22214
08 Jun 2021 — When requests to the internal network for webhooks are enabled, a server-side request forgery vulnerability in GitLab CE/EE affecting all versions starting from 10.5 was possible to exploit for an unauthenticated attacker even on a GitLab instance where registration is limited Cuando se habilitan las peticiones a la red interna para los webhooks, una vulnerabilidad de tipo server-side request forgery en GitLab CE/EE que afecta a todas las versiones a partir desde 10.5, era posible de explotar por un atacant... • https://github.com/aaminin/CVE-2021-22214 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22202
https://notcve.org/view.php?id=CVE-2021-22202
02 Apr 2021 — An issue has been discovered in GitLab CE/EE affecting all previous versions. If the victim is an admin, it was possible to issue a CSRF in System hooks through the API. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones anteriores. Si la víctima es un administrador, es posible facilitar un ataque de tipo CSRF en los enlaces del Sistema por medio de la API. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22202.json • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22194
https://notcve.org/view.php?id=CVE-2021-22194
26 Mar 2021 — In all versions of GitLab, marshalled session keys were being stored in Redis. En todas las versiones de GitLab, las claves de sesión marshalled estaban siendo almacenadas en Redis • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22194.json • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 3.5EPSS: 0%CPEs: 6EXPL: 2CVE-2021-22193
https://notcve.org/view.php?id=CVE-2021-22193
24 Mar 2021 — An issue has been discovered in GitLab affecting all versions starting with 7.1. A member of a private group was able to validate the use of a specific name for private project. Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de 7.1. Un miembro de un grupo privado pudo ser capaz de comprobar el uso de un nombre específico para un proyecto privado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22193.json • CWE-209: Generation of Error Message Containing Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22176
https://notcve.org/view.php?id=CVE-2021-22176
24 Mar 2021 — An issue has been discovered in GitLab affecting all versions starting with 3.0.1. Improper access control allows demoted project members to access details on authored merge requests Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de 3.0.1. El control de acceso inapropiado permite a miembros del proyecto degradados acceder a los detalles de las peticiones de fusión creadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22176.json • CWE-863: Incorrect Authorization •
CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22186
https://notcve.org/view.php?id=CVE-2021-22186
24 Mar 2021 — An authorization issue in GitLab CE/EE version 9.4 and up allowed a group maintainer to modify group CI/CD variables which should be restricted to group owners Un problema de autorización en GitLab CE/EE versiones 9.4 y posteriores, permitió a un mantenedor de grupo modificar unas variables de CI/CD de grupo que deberían estar restringidas a los propietarios del grupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22186.json • CWE-863: Incorrect Authorization •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22189
https://notcve.org/view.php?id=CVE-2021-22189
04 Mar 2021 — Starting with version 13.7 the Gitlab CE/EE editions were affected by a security issue related to the validation of the certificates for the Fortinet OTP that could result in authentication issues. A partir de la versión 13.7, las ediciones de Gitlab CE/EE, estaban afectadas por un problema de seguridad relacionado a la comprobación de los certificados para Fortinet OTP que podría resultar en problemas de autenticación • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22189.json • CWE-295: Improper Certificate Validation •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22187
https://notcve.org/view.php?id=CVE-2021-22187
02 Mar 2021 — An issue has been discovered in GitLab affecting all versions of Gitlab EE/CE before 13.6.7. A potential resource exhaustion issue that allowed running or pending jobs to continue even after project was deleted. Se ha detectado un problema en GitLab que afecta a todas las versiones de Gitlab EE/CE anteriores a 13.6.7. Un posible problema de agotamiento de los recursos que permitía que los trabajos en ejecución o pendientes continuaran incluso después de eliminar el proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22187.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 4.4EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26416
https://notcve.org/view.php?id=CVE-2020-26416
11 Dec 2020 — Information disclosure in Advanced Search component of GitLab EE starting from 8.4 results in exposure of search terms via Rails logs. This affects versions >=8.4 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2. Una divulgación de información en el componente Advanced Search de GitLab EE a partir de la versión 8.4, resulta en la exposición de los términos de búsqueda por medio de los registros Rails. Esto afecta a las versiones posteriores a 8.4 incluyéndola hasta versiones anteriores a 13.4.7, ve... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26416.json • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26409
https://notcve.org/view.php?id=CVE-2020-26409
11 Dec 2020 — A DOS vulnerability exists in Gitlab CE/EE >=10.3, <13.4.7,>=13.5, <13.5.5,>=13.6, <13.6.2 that allows an attacker to trigger uncontrolled resource by bypassing input validation in markdown fields. Se presenta una vulnerabilidad de DOS en Gitlab CE/EE versiones posteriores a 10.3 incluyéndola, versiones anteriores a 13.4.7, versiones posteriores a 13.5 incluyéndola, versiones anteriores a 13.5.5, versiones posteriores a 13.6 incluyéndola, versiones anteriores 13.6.2, que permite a un atacante activar un rec... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26409.json • CWE-20: Improper Input Validation CWE-400: Uncontrolled Resource Consumption •