CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39931
https://notcve.org/view.php?id=CVE-2021-39931
An issue has been discovered in GitLab CE/EE affecting all versions starting from 8.11 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Under specific condition an unauthorised project member was allowed to delete a protected branches due to a business logic error. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 8.11 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2. Bajo una condición específica, un miembro del proyecto no autorizado podía eliminar una rama protegida debido a un error de lógica de negocio • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39931.json https://gitlab.com/gitlab-org/gitlab/-/issues/340445 https://hackerone.com/reports/1318379 •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39945
https://notcve.org/view.php?id=CVE-2021-39945
Improper access control in the GitLab CE/EE API affecting all versions starting from 9.4 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows an author of a Merge Request to approve the Merge Request even after having their project access revoked Un control de acceso inapropiado en la API de GitLab CE/EE afectando a todas las versiones a partir de 9.4 anteriores a 14.3.6, a todas las versiones a partir de 14.4 anteriores a 14.4.4, a todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un autor de una solicitud de fusión aprobar la solicitud de fusión incluso después de que le es revocado el acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39945.json https://gitlab.com/gitlab-org/gitlab/-/issues/331675 https://hackerone.com/reports/1198317 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39898
https://notcve.org/view.php?id=CVE-2021-39898
In all versions of GitLab CE/EE since version 10.6, a project export leaks the external webhook token value which may allow access to the project which it was exported from. En todas las versiones de GitLab CE/EE desde versión 10.6, una exportación de proyecto filtra el valor del token externo de webhook que puede permitir el acceso al proyecto desde el que se exportó • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39898.json https://gitlab.com/gitlab-org/gitlab/-/issues/33734 https://hackerone.com/reports/698068 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-39905
https://notcve.org/view.php?id=CVE-2021-39905
An information disclosure vulnerability in the GitLab CE/EE API since version 8.9.6 allows a user to see basic information on private groups that a public project has been shared with Una vulnerabilidad de divulgación de información en la API de GitLab CE/EE desde la versión 8.9.6 permite a un usuario visualizar información básica sobre grupos privados con los que se ha compartido un proyecto público • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39905.json https://gitlab.com/gitlab-org/gitlab/-/issues/28226 https://hackerone.com/reports/538029 •
CVSS: 6.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39895
https://notcve.org/view.php?id=CVE-2021-39895
In all versions of GitLab CE/EE since version 8.0, an attacker can set the pipeline schedules to be active in a project export so when an unsuspecting owner imports that project, pipelines are active by default on that project. Under specialized conditions, this may lead to information disclosure if the project is imported from an untrusted source. En todas las versiones de GitLab CE/EE desde versión 8.0, un atacante puede configurar las programaciones de tuberías para que estén activas en una exportación de proyectos, de modo que cuando un propietario desprevenido importa ese proyecto, las tuberías están activas por defecto en ese proyecto. Bajo condiciones especializadas, esto puede conllevar a una divulgación de información si el proyecto es importado desde una fuente no confiable • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39895.json https://gitlab.com/gitlab-org/gitlab/-/issues/337824 https://hackerone.com/reports/1272535 •