CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39914
https://notcve.org/view.php?id=CVE-2021-39914
04 Nov 2021 — A regular expression denial of service issue in GitLab versions 8.13 to 14.2.5, 14.3.0 to 14.3.3 and 14.4.0 could cause excessive usage of resources when a specially crafted username was used when provisioning a new user Un problema de denegación de servicio con expresiones regulares en GitLab versiones 8.13 a 14.2.5, 14.3.0 a 14.3.3 y 14.4.0, podía causar un uso excesivo de recursos cuando se usaba un nombre de usuario especialmente diseñado al aprovisionar un nuevo usuario • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39914.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 2CVE-2021-22263
https://notcve.org/view.php?id=CVE-2021-22263
11 Oct 2021 — An issue has been discovered in GitLab affecting all versions starting from 13.0 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. A user account with 'external' status which is granted 'Maintainer' role on any project on the GitLab instance where 'project tokens' are allowed may elevate its privilege to 'Internal' and access Internal projects. Se ha detectado un problema en GitLab afectando todas las versiones a partir de la 13.0 anteriores a 14.0.... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22263.json • CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39880
https://notcve.org/view.php?id=CVE-2021-39880
05 Oct 2021 — A Denial Of Service vulnerability in the apollo_upload_server Ruby gem in GitLab CE/EE all versions starting from 11.9 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 allows an attacker to deny access to all users via specially crafted requests to the apollo_upload_server middleware. Una vulnerabilidad de denegación de servicio en la gema apollo_upload_server Ruby en GitLab CE/EE todas las versiones a partir de la 11.9 antes de la 14.0.9, todas... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39880.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22258
https://notcve.org/view.php?id=CVE-2021-22258
05 Oct 2021 — The project import/export feature in GitLab 8.9 and greater could be used to obtain otherwise private email addresses La función de importación/exportación de proyectos en GitLab versiones 8.9 y superiores, podría usarse para obtener direcciones de correo electrónico que de otro modo serían privadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22258.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39870
https://notcve.org/view.php?id=CVE-2021-39870
05 Oct 2021 — In all versions of GitLab CE/EE since version 11.11, an instance that has the setting to disable Repo by URL import enabled is bypassed by an attacker making a crafted API call. En todas las versiones de GitLab CE/EE a partir de la versión 11.11, un atacante que realice una llamada a la API diseñada puede omitir una instancia que tenga habilitada la opción de desactivar la importación de repositorios por URL • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39870.json •
CVSS: 3.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39881
https://notcve.org/view.php?id=CVE-2021-39881
05 Oct 2021 — In all versions of GitLab CE/EE since version 7.7, the application may let a malicious user create an OAuth client application with arbitrary scope names which may allow the malicious user to trick unsuspecting users to authorize the malicious client application using the spoofed scope name and description. En todas las versiones de GitLab CE/EE desde la versión 7.7, la aplicación puede permitir a un usuario malicioso crear una aplicación cliente OAuth con nombres de ámbito arbitrarios que pueden permitir a... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39881.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39886
https://notcve.org/view.php?id=CVE-2021-39886
05 Oct 2021 — Permissions rules were not applied while issues were moved between projects of the same group in GitLab versions starting with 10.6 and up to 14.1.7 allowing users to read confidential Epic references. Las reglas de permisos no se aplicaban mientras las incidencias se movían entre proyectos del mismo grupo en las versiones de GitLab a partir de la 10.6 y hasta la 14.1.7, permitiendo a usuarios leer referencias Ëpicas confidenciales • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39886.json • CWE-276: Incorrect Default Permissions •
CVSS: 5.9EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39891
https://notcve.org/view.php?id=CVE-2021-39891
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.0, access tokens created as part of admin's impersonation of a user are not cleared at the end of impersonation which may lead to unnecessary sensitive info disclosure. En todas las versiones de GitLab CE/EE desde la versión 8.0, los tokens de acceso creados como parte de la suplantación de un usuario por parte del administrador no se borran al final de la suplantación, lo que puede conllevar a una divulgación innecesaria de información confidencial • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39891.json • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39866
https://notcve.org/view.php?id=CVE-2021-39866
05 Oct 2021 — A business logic error in the project deletion process in GitLab 13.6 and later allows persistent access via project access tokens. Un error de lógica de negocio en el proceso de eliminación de proyectos en GitLab versiones 13.6 y posteriores, permite el acceso persistente por medio de tokens de acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39866.json •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39872
https://notcve.org/view.php?id=CVE-2021-39872
05 Oct 2021 — In all versions of GitLab CE/EE since version 14.1, an improper access control vulnerability allows users with expired password to still access GitLab through git and API through access tokens acquired before password expiration. En todas las versiones de GitLab CE/EE desde la versión 14.1, una vulnerabilidad de control de acceso inapropiada permite a usuarios con la contraseña caducada seguir accediendo a GitLab mediante git y de la API mediante tokens de acceso adquiridos antes de la caducidad de la contr... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39872.json • CWE-287: Improper Authentication •