CVE-2021-39945
https://notcve.org/view.php?id=CVE-2021-39945
Improper access control in the GitLab CE/EE API affecting all versions starting from 9.4 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows an author of a Merge Request to approve the Merge Request even after having their project access revoked Un control de acceso inapropiado en la API de GitLab CE/EE afectando a todas las versiones a partir de 9.4 anteriores a 14.3.6, a todas las versiones a partir de 14.4 anteriores a 14.4.4, a todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un autor de una solicitud de fusión aprobar la solicitud de fusión incluso después de que le es revocado el acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39945.json https://gitlab.com/gitlab-org/gitlab/-/issues/331675 https://hackerone.com/reports/1198317 • CWE-863: Incorrect Authorization •
CVE-2021-39944
https://notcve.org/view.php?id=CVE-2021-39944
An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. A permissions validation flaw allowed group members with a developer role to elevate their privilege to a maintainer on projects they import Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 11.0 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2. Un fallo de comprobación de permisos permitía a los miembros del grupo con un rol de desarrollador elevar sus privilegios a los de mantenedor en los proyectos que importaban • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39944.json https://gitlab.com/gitlab-org/gitlab/-/issues/336531 https://hackerone.com/reports/1256017 • CWE-269: Improper Privilege Management •
CVE-2021-39918
https://notcve.org/view.php?id=CVE-2021-39918
Incorrect Authorization in GitLab EE affecting all versions starting from 11.1 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows a user to add comments to a vulnerability which cannot be accessed. Una Autorización Incorrecta en GitLab EE afectando a todas las versiones a partir de 11.1 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un usuario añadir comentarios a una vulnerabilidad a la que no es posible acceder • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39918.json https://gitlab.com/gitlab-org/gitlab/-/issues/329916 https://hackerone.com/reports/1180043 • CWE-863: Incorrect Authorization •
CVE-2021-39898
https://notcve.org/view.php?id=CVE-2021-39898
In all versions of GitLab CE/EE since version 10.6, a project export leaks the external webhook token value which may allow access to the project which it was exported from. En todas las versiones de GitLab CE/EE desde versión 10.6, una exportación de proyecto filtra el valor del token externo de webhook que puede permitir el acceso al proyecto desde el que se exportó • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39898.json https://gitlab.com/gitlab-org/gitlab/-/issues/33734 https://hackerone.com/reports/698068 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2021-39905
https://notcve.org/view.php?id=CVE-2021-39905
An information disclosure vulnerability in the GitLab CE/EE API since version 8.9.6 allows a user to see basic information on private groups that a public project has been shared with Una vulnerabilidad de divulgación de información en la API de GitLab CE/EE desde la versión 8.9.6 permite a un usuario visualizar información básica sobre grupos privados con los que se ha compartido un proyecto público • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39905.json https://gitlab.com/gitlab-org/gitlab/-/issues/28226 https://hackerone.com/reports/538029 •