CVSS: 10.0EPSS: 97%CPEs: 6EXPL: 33CVE-2021-22205 – GitLab Community and Enterprise Editions Remote Code Execution Vulnerability
https://notcve.org/view.php?id=CVE-2021-22205
23 Apr 2021 — An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that were passed to a file parser which resulted in a remote command execution. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 11.9. GitLab no estaba comprobado apropiadamente archivos de imagen que fueron pasados a un analizador de archivos, lo que resultó en una ejecución de comando remoto GitHub Community and Enterprise Editi... • https://packetstorm.news/files/id/164768 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22199
https://notcve.org/view.php?id=CVE-2021-22199
22 Apr 2021 — An issue has been discovered in GitLab affecting all versions starting with 12.9. GitLab was vulnerable to a stored XSS if scoped labels were used. Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 12.9. GitLab era vulnerable a un ataque de tipo XSS almacenado si etiquetas de ámbito eran usadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22199.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22190
https://notcve.org/view.php?id=CVE-2021-22190
12 Apr 2021 — A path traversal vulnerability via the GitLab Workhorse in all versions of GitLab could result in the leakage of a JWT token Una vulnerabilidad de salto ruta por medio del GitLab Workhorse en todas las versiones de GitLab podría resultar en la fuga de un token JWT • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22190.json • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22202
https://notcve.org/view.php?id=CVE-2021-22202
02 Apr 2021 — An issue has been discovered in GitLab CE/EE affecting all previous versions. If the victim is an admin, it was possible to issue a CSRF in System hooks through the API. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones anteriores. Si la víctima es un administrador, es posible facilitar un ataque de tipo CSRF en los enlaces del Sistema por medio de la API. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22202.json • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22200
https://notcve.org/view.php?id=CVE-2021-22200
02 Apr 2021 — An issue has been discovered in GitLab CE/EE affecting all versions starting with 12.6. Under a special condition it was possible to access data of an internal repository through a public project fork as an anonymous user. Se detecto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la versión 12.6. Bajo una condición especial era posible acceder a los datos de un repositorio interno a través de un fork público del proyecto como usuario anónimo • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22200.json •
CVSS: 9.8EPSS: 0%CPEs: 6EXPL: 2CVE-2021-22203
https://notcve.org/view.php?id=CVE-2021-22203
02 Apr 2021 — An issue has been discovered in GitLab CE/EE affecting all versions starting from 13.7.9 before 13.8.7, all versions starting from 13.9 before 13.9.5, and all versions starting from 13.10 before 13.10.1. A specially crafted Wiki page allowed attackers to read arbitrary files on the server. Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 13.7.9 antes de la 13.8.7, a todas las versiones a partir de la 13.9 antes de la 13.9.5 y a todas las versiones a partir de la ... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22203.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22177
https://notcve.org/view.php?id=CVE-2021-22177
01 Apr 2021 — Potential DoS was identified in gitlab-shell in GitLab CE/EE version 12.6.0 or above, which allows an attacker to spike the server resource utilization via gitlab-shell command. Se identificó una DoS potencial en gitlab-shell en GitLab CE/EE versiones 12.6.0 o superiores, lo que permite a un atacante aumentar la utilización de recursos del servidor por medio del comando gitlab-shell. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22177.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22184
https://notcve.org/view.php?id=CVE-2021-22184
26 Mar 2021 — An information disclosure issue in GitLab starting from version 12.8 allowed a user with access to the server logs to see sensitive information that wasn't properly redacted. Un problema de divulgación de información en GitLab desde la versión 12.8, permitió a un usuario con acceso a los registros del servidor visualizar información confidencial que no se redactó apropiadamente. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22184.json • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 1CVE-2021-22180
https://notcve.org/view.php?id=CVE-2021-22180
26 Mar 2021 — An issue has been discovered in GitLab affecting all versions starting from 13.4. Improper access control allows unauthorized users to access details on analytic pages. Se ha detectado un problema en GitLab que afecta a todas las versiones desde 13.4. Un control de acceso inapropiado permite a usuarios no autorizados acceder a los detalles de las páginas analíticas. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22180.json • CWE-425: Direct Request ('Forced Browsing') •
CVSS: 5.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22194
https://notcve.org/view.php?id=CVE-2021-22194
26 Mar 2021 — In all versions of GitLab, marshalled session keys were being stored in Redis. En todas las versiones de GitLab, las claves de sesión marshalled estaban siendo almacenadas en Redis • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22194.json • CWE-312: Cleartext Storage of Sensitive Information •