CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22261
https://notcve.org/view.php?id=CVE-2021-22261
05 Oct 2021 — A stored Cross-Site Scripting vulnerability in the Jira integration in all GitLab versions starting from 13.9 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 allows an attacker to execute arbitrary JavaScript code on the victim's behalf via malicious Jira API responses Una vulnerabilidad de Cross-Site Scripting almacenada en la integración de Jira en todas las versiones de GitLab a partir de la 13.9 antes de la 14.0.9, todas las versiones a par... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22261.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22258
https://notcve.org/view.php?id=CVE-2021-22258
05 Oct 2021 — The project import/export feature in GitLab 8.9 and greater could be used to obtain otherwise private email addresses La función de importación/exportación de proyectos en GitLab versiones 8.9 y superiores, podría usarse para obtener direcciones de correo electrónico que de otro modo serían privadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22258.json •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22262
https://notcve.org/view.php?id=CVE-2021-22262
05 Oct 2021 — Missing access control in all GitLab versions starting from 13.12 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 with Jira Cloud integration enabled allows Jira users without administrative privileges to add and remove Jira Connect Namespaces via the GitLab.com for Jira Cloud application configuration page La falta de control de acceso en todas las versiones de GitLab a partir de la 13.12 antes de la 14.0.9, en todas las versiones a partir de ... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22262.json • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22257
https://notcve.org/view.php?id=CVE-2021-22257
05 Oct 2021 — An issue has been discovered in GitLab affecting all versions starting from 14.0 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. The route for /user.keys is not restricted on instances with public visibility disabled. This allows user enumeration on such instances. Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 14.0 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las ve... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22257.json •
CVSS: 6.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22264
https://notcve.org/view.php?id=CVE-2021-22264
05 Oct 2021 — An issue has been discovered in GitLab affecting all versions starting from 13.8 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. Under specialized conditions, an invited group member may continue to have access to a project even after the invited group, which the member was part of, is deleted. Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 13.8 anteriores a 14.0.9, todas las versiones a partir de la 14.1 ant... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22264.json •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2021-39889
https://notcve.org/view.php?id=CVE-2021-39889
05 Oct 2021 — In all versions of GitLab EE since version 14.1, due to an insecure direct object reference vulnerability, an endpoint may reveal the protected branch name to a malicious user who makes a crafted API call with the ID of the protected branch. En todas las versiones de GitLab EE desde la versión 14.1, debido a una vulnerabilidad de referencia directa a objetos insegura, un endpoint puede revelar el nombre de la rama protegida a un usuario malintencionado que realice una llamada a la API diseñada con el ID de ... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39889.json • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39870
https://notcve.org/view.php?id=CVE-2021-39870
05 Oct 2021 — In all versions of GitLab CE/EE since version 11.11, an instance that has the setting to disable Repo by URL import enabled is bypassed by an attacker making a crafted API call. En todas las versiones de GitLab CE/EE a partir de la versión 11.11, un atacante que realice una llamada a la API diseñada puede omitir una instancia que tenga habilitada la opción de desactivar la importación de repositorios por URL • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39870.json •
CVSS: 3.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39881
https://notcve.org/view.php?id=CVE-2021-39881
05 Oct 2021 — In all versions of GitLab CE/EE since version 7.7, the application may let a malicious user create an OAuth client application with arbitrary scope names which may allow the malicious user to trick unsuspecting users to authorize the malicious client application using the spoofed scope name and description. En todas las versiones de GitLab CE/EE desde la versión 7.7, la aplicación puede permitir a un usuario malicioso crear una aplicación cliente OAuth con nombres de ámbito arbitrarios que pueden permitir a... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39881.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39886
https://notcve.org/view.php?id=CVE-2021-39886
05 Oct 2021 — Permissions rules were not applied while issues were moved between projects of the same group in GitLab versions starting with 10.6 and up to 14.1.7 allowing users to read confidential Epic references. Las reglas de permisos no se aplicaban mientras las incidencias se movían entre proyectos del mismo grupo en las versiones de GitLab a partir de la 10.6 y hasta la 14.1.7, permitiendo a usuarios leer referencias Ëpicas confidenciales • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39886.json • CWE-276: Incorrect Default Permissions •
CVSS: 5.9EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39891
https://notcve.org/view.php?id=CVE-2021-39891
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.0, access tokens created as part of admin's impersonation of a user are not cleared at the end of impersonation which may lead to unnecessary sensitive info disclosure. En todas las versiones de GitLab CE/EE desde la versión 8.0, los tokens de acceso creados como parte de la suplantación de un usuario por parte del administrador no se borran al final de la suplantación, lo que puede conllevar a una divulgación innecesaria de información confidencial • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39891.json • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •