CVE-2021-39882
https://notcve.org/view.php?id=CVE-2021-39882
In all versions of GitLab CE/EE, provided a user ID, anonymous users can use a few endpoints to retrieve information about any GitLab user. En todas las versiones de GitLab CE/EE, siempre que se disponga de un ID de usuario, unos usuarios anónimos pueden usar algunos endpoints para recuperar información sobre cualquier usuario de GitLab • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39882.json https://gitlab.com/gitlab-org/gitlab/-/issues/297473 • CWE-319: Cleartext Transmission of Sensitive Information •
CVE-2021-39893
https://notcve.org/view.php?id=CVE-2021-39893
A potential DOS vulnerability was discovered in GitLab starting with version 9.1 that allowed parsing files without authorisation. En GitLab, a partir de la versión 9.1, se ha detectado una potencial vulnerabilidad de DOS que permitía analizar archivos sin autorización • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39893.json https://gitlab.com/gitlab-org/gitlab/-/issues/340076 • CWE-862: Missing Authorization •
CVE-2021-39887
https://notcve.org/view.php?id=CVE-2021-39887
A stored Cross-Site Scripting vulnerability in the GitLab Flavored Markdown in GitLab CE/EE version 8.4 and above allowed an attacker to execute arbitrary JavaScript code on the victim's behalf. Una vulnerabilidad de tipo Cross-Site Scripting almacenado en el GitLab Flavored Markdown en GitLab CE/EE versión 8.4 y superior, permitía a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39887.json https://gitlab.com/gitlab-org/gitlab/-/issues/332903 https://hackerone.com/reports/1218174 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-39868
https://notcve.org/view.php?id=CVE-2021-39868
In all versions of GitLab CE/EE since version 8.12, an authenticated low-privileged malicious user may create a project with unlimited repository size by modifying values in a project export. En todas las versiones de GitLab CE/EE desde la versión 8.12, un usuario malicioso autenticado con pocos privilegios puede crear un proyecto con un tamaño de repositorio ilimitado modificando los valores de una exportación de proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39868.json https://gitlab.com/gitlab-org/gitlab/-/issues/24649 https://hackerone.com/reports/420258 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2021-39874
https://notcve.org/view.php?id=CVE-2021-39874
In all versions of GitLab CE/EE since version 11.0, the requirement to enforce 2FA is not honored when using git commands. En todas las versiones de GitLab CE/EE a partir de la versión 11.0, no se cumple el requisito de aplicar 2FA cuando son usados comandos git • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39874.json https://gitlab.com/gitlab-org/gitlab/-/issues/222527 https://hackerone.com/reports/898477 •