CVSS: 4.0EPSS: 0%CPEs: 2EXPL: 0CVE-2021-39879
https://notcve.org/view.php?id=CVE-2021-39879
04 Oct 2021 — Missing authentication in all versions of GitLab CE/EE since version 7.11.0 allows an attacker with access to a victim's session to disable two-factor authentication Una falta de autenticación en todas las versiones de GitLab CE/EE desde la versión 7.11.0, permite a un atacante con acceso a la sesión de la víctima desactivar la autenticación de dos factores • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39879.json • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39877
https://notcve.org/view.php?id=CVE-2021-39877
04 Oct 2021 — A vulnerability was discovered in GitLab starting with version 12.2 that allows an attacker to cause uncontrolled resource consumption with a specially crafted file. Se ha detectado una vulnerabilidad en GitLab a partir de la versión 12.2, que permite a un atacante causar un consumo no controlado de recursos con un archivo especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39877.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 8.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22242
https://notcve.org/view.php?id=CVE-2021-22242
25 Aug 2021 — Insufficient input sanitization in Mermaid markdown in GitLab CE/EE version 11.4 and up allows an attacker to exploit a stored cross-site scripting vulnerability via a specially-crafted markdown Un saneo de entradas insuficiente en el markdown de Mermaid en GitLab CE/EE versión 11.4 y superiores, permite a un atacante explotar una vulnerabilidad de tipo cross-site scripting almacenado por medio de un markdown especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22242.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22243
https://notcve.org/view.php?id=CVE-2021-22243
25 Aug 2021 — Under specialized conditions, GitLab CE/EE versions starting 7.10 may allow existing GitLab users to use an invite URL meant for another email address to gain access into a group. En condiciones especiales, GitLab CE/EE versiones a partir de la 7.10, pueden permitir a usuarios existentes de GitLab usar una URL de invitación destinada a otra dirección de correo electrónico para conseguir acceso a un grupo. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22243.json • CWE-863: Incorrect Authorization •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22245
https://notcve.org/view.php?id=CVE-2021-22245
25 Aug 2021 — Improper validation of commit author in GitLab CE/EE affecting all versions allowed an attacker to make several pages in a project impossible to view Una comprobación inapropiada del autor de los commit en GitLab CE/EE, afectando a todas las versiones, permitía a un atacante imposibilitar la visualización de varias páginas de un proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22245.json • CWE-20: Improper Input Validation •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22249
https://notcve.org/view.php?id=CVE-2021-22249
23 Aug 2021 — A verbose error message in GitLab EE affecting all versions since 12.2 could disclose the private email address of a user invited to a group Un mensaje de error verboso en GitLab EE afectando a todas las versiones desde la 12.2, podía divulgar la dirección de correo electrónico privada de un usuario invitado a un grupo. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22249.json • CWE-209: Generation of Error Message Containing Sensitive Information •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2021-22251
https://notcve.org/view.php?id=CVE-2021-22251
23 Aug 2021 — Improper validation of invited users' email address in GitLab EE affecting all versions since 12.2 allowed projects to add members with email address domain that should be blocked by group settings Una comprobación inapropiada de la dirección de correo electrónico de los usuarios invitados en GitLab EE, afectando a todas las versiones desde la 12.2, permitía que los proyectos añadieran miembros con un dominio de dirección de correo electrónico que debería estar bloqueado por la configuración del grupo. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22251.json • CWE-863: Incorrect Authorization •
CVSS: 7.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22246
https://notcve.org/view.php?id=CVE-2021-22246
20 Aug 2021 — A vulnerability was discovered in GitLab versions before 14.0.2, 13.12.6, 13.11.6. GitLab Webhook feature could be abused to perform denial of service attacks. Se ha detectado una vulnerabilidad en GitLab versiones anteriores a 14.0.2, 13.12.6 y 13.11.6. La funcionalidad GitLab Webhook podría ser abusada para llevar a cabo ataques de denegación de servicio. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22246.json • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22230
https://notcve.org/view.php?id=CVE-2021-22230
07 Jul 2021 — Improper code rendering while rendering merge requests could be exploited to submit malicious code. This vulnerability affects GitLab CE/EE 9.3 and later through 13.11.6, 13.12.6, and 14.0.2. Una renderización inapropiada del código al renderizar las peticiones de fusión podría ser explotada para enviar código malicioso. Esta vulnerabilidad afecta a GitLab CE/EE versiones 9.3 y posteriores hasta 13.11.6, 13.12.6 y 14.0.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22230.json •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22227
https://notcve.org/view.php?id=CVE-2021-22227
07 Jul 2021 — A reflected cross-site script vulnerability in GitLab before versions 13.11.6, 13.12.6 and 14.0.2 allowed an attacker to send a malicious link to a victim and trigger actions on their behalf if they clicked it Una vulnerabilidad de tipo cross-site script reflejada en GitLab versiones anteriores a 13.11.6, 13.12.6 y 14.0.2, permitía a un atacante enviar un enlace malicioso a una víctima y desencadenar acciones en su nombre si hacían clic en él • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22227.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •