CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39936
https://notcve.org/view.php?id=CVE-2021-39936
Improper access control in GitLab CE/EE affecting all versions starting from 10.7 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows an attacker in possession of a deploy token to access a project's disabled wiki. Un control de acceso inapropiado en GitLab CE/EE afectando a todas las versiones a partir de 10.7 anteriores a 14.3.6, a todas las versiones a partir de 14.4 anteriores a 14.4.4, a todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un atacante en posesión de un token de despliegue acceder a la wiki deshabilitada de un proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39936.json https://gitlab.com/gitlab-org/gitlab/-/issues/241767 https://hackerone.com/reports/964057 • CWE-863: Incorrect Authorization •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39945
https://notcve.org/view.php?id=CVE-2021-39945
Improper access control in the GitLab CE/EE API affecting all versions starting from 9.4 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows an author of a Merge Request to approve the Merge Request even after having their project access revoked Un control de acceso inapropiado en la API de GitLab CE/EE afectando a todas las versiones a partir de 9.4 anteriores a 14.3.6, a todas las versiones a partir de 14.4 anteriores a 14.4.4, a todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un autor de una solicitud de fusión aprobar la solicitud de fusión incluso después de que le es revocado el acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39945.json https://gitlab.com/gitlab-org/gitlab/-/issues/331675 https://hackerone.com/reports/1198317 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39898
https://notcve.org/view.php?id=CVE-2021-39898
In all versions of GitLab CE/EE since version 10.6, a project export leaks the external webhook token value which may allow access to the project which it was exported from. En todas las versiones de GitLab CE/EE desde versión 10.6, una exportación de proyecto filtra el valor del token externo de webhook que puede permitir el acceso al proyecto desde el que se exportó • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39898.json https://gitlab.com/gitlab-org/gitlab/-/issues/33734 https://hackerone.com/reports/698068 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-39905
https://notcve.org/view.php?id=CVE-2021-39905
An information disclosure vulnerability in the GitLab CE/EE API since version 8.9.6 allows a user to see basic information on private groups that a public project has been shared with Una vulnerabilidad de divulgación de información en la API de GitLab CE/EE desde la versión 8.9.6 permite a un usuario visualizar información básica sobre grupos privados con los que se ha compartido un proyecto público • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39905.json https://gitlab.com/gitlab-org/gitlab/-/issues/28226 https://hackerone.com/reports/538029 •
CVSS: 6.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39895
https://notcve.org/view.php?id=CVE-2021-39895
In all versions of GitLab CE/EE since version 8.0, an attacker can set the pipeline schedules to be active in a project export so when an unsuspecting owner imports that project, pipelines are active by default on that project. Under specialized conditions, this may lead to information disclosure if the project is imported from an untrusted source. En todas las versiones de GitLab CE/EE desde versión 8.0, un atacante puede configurar las programaciones de tuberías para que estén activas en una exportación de proyectos, de modo que cuando un propietario desprevenido importa ese proyecto, las tuberías están activas por defecto en ese proyecto. Bajo condiciones especializadas, esto puede conllevar a una divulgación de información si el proyecto es importado desde una fuente no confiable • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39895.json https://gitlab.com/gitlab-org/gitlab/-/issues/337824 https://hackerone.com/reports/1272535 •