CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22227
https://notcve.org/view.php?id=CVE-2021-22227
A reflected cross-site script vulnerability in GitLab before versions 13.11.6, 13.12.6 and 14.0.2 allowed an attacker to send a malicious link to a victim and trigger actions on their behalf if they clicked it Una vulnerabilidad de tipo cross-site script reflejada en GitLab versiones anteriores a 13.11.6, 13.12.6 y 14.0.2, permitía a un atacante enviar un enlace malicioso a una víctima y desencadenar acciones en su nombre si hacían clic en él • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22227.json https://gitlab.com/gitlab-org/gitlab/-/issues/212887 https://hackerone.com/reports/834555 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22231
https://notcve.org/view.php?id=CVE-2021-22231
A denial of service in user's profile page is found starting with GitLab CE/EE 8.0 that allows attacker to reject access to their profile page via using a specially crafted username. Se ha detectado una denegación de servicio en la página de perfil del usuario a partir de GitLab CE/EE versión 8.0, que permite a un atacante rechazar el acceso a su página de perfil por medio de un nombre de usuario especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22231.json https://gitlab.com/gitlab-org/gitlab/-/issues/26295 https://hackerone.com/reports/475098 •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 2CVE-2021-22228
https://notcve.org/view.php?id=CVE-2021-22228
An issue has been discovered in GitLab affecting all versions before 13.11.6, all versions starting from 13.12 before 13.12.6, and all versions starting from 14.0 before 14.0.2. Improper access control allows unauthorised users to access project details using Graphql. Se ha descubierto un problema en GitLab que afecta a todas las versiones anteriores a la 13.11.6, a todas las versiones a partir de la 13.12 antes de la 13.12.6 y a todas las versiones a partir de la 14.0 antes de la 14.0.2. Un control de acceso inadecuado permite a usuarios no autorizados acceder a los detalles del proyecto utilizando Graphql • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22228.json https://gitlab.com/gitlab-org/gitlab/-/issues/332605 https://hackerone.com/reports/1192460 •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22232
https://notcve.org/view.php?id=CVE-2021-22232
HTML injection was possible via the full name field before versions 13.11.6, 13.12.6, and 14.0.2 in GitLab CE Una inyección de HTML era posible por medio del campo full name en versiones anteriores a 13.11.6, 13.12.6 y 14.0.2 en GitLab CE • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22232.json https://gitlab.com/gitlab-org/gitlab/-/issues/300713 https://hackerone.com/reports/1090634 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22175
https://notcve.org/view.php?id=CVE-2021-22175
When requests to the internal network for webhooks are enabled, a server-side request forgery vulnerability in GitLab affecting all versions starting from 10.5 was possible to exploit for an unauthenticated attacker even on a GitLab instance where registration is disabled Cuando se habilitan las peticiones a la red interna para los webhooks, una vulnerabilidad de tipo server-side request forgery en GitLab que afecta a todas las versiones desde 10.5, era posible explotar por un atacante no autenticado incluso en una instancia de GitLab en la que el registro está deshabilitado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22175.json https://gitlab.com/gitlab-org/gitlab/-/issues/294178 https://hackerone.com/reports/1059596 • CWE-918: Server-Side Request Forgery (SSRF) •