CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39870
https://notcve.org/view.php?id=CVE-2021-39870
05 Oct 2021 — In all versions of GitLab CE/EE since version 11.11, an instance that has the setting to disable Repo by URL import enabled is bypassed by an attacker making a crafted API call. En todas las versiones de GitLab CE/EE a partir de la versión 11.11, un atacante que realice una llamada a la API diseñada puede omitir una instancia que tenga habilitada la opción de desactivar la importación de repositorios por URL • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39870.json •
CVSS: 3.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39881
https://notcve.org/view.php?id=CVE-2021-39881
05 Oct 2021 — In all versions of GitLab CE/EE since version 7.7, the application may let a malicious user create an OAuth client application with arbitrary scope names which may allow the malicious user to trick unsuspecting users to authorize the malicious client application using the spoofed scope name and description. En todas las versiones de GitLab CE/EE desde la versión 7.7, la aplicación puede permitir a un usuario malicioso crear una aplicación cliente OAuth con nombres de ámbito arbitrarios que pueden permitir a... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39881.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39886
https://notcve.org/view.php?id=CVE-2021-39886
05 Oct 2021 — Permissions rules were not applied while issues were moved between projects of the same group in GitLab versions starting with 10.6 and up to 14.1.7 allowing users to read confidential Epic references. Las reglas de permisos no se aplicaban mientras las incidencias se movían entre proyectos del mismo grupo en las versiones de GitLab a partir de la 10.6 y hasta la 14.1.7, permitiendo a usuarios leer referencias Ëpicas confidenciales • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39886.json • CWE-276: Incorrect Default Permissions •
CVSS: 5.9EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39891
https://notcve.org/view.php?id=CVE-2021-39891
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.0, access tokens created as part of admin's impersonation of a user are not cleared at the end of impersonation which may lead to unnecessary sensitive info disclosure. En todas las versiones de GitLab CE/EE desde la versión 8.0, los tokens de acceso creados como parte de la suplantación de un usuario por parte del administrador no se borran al final de la suplantación, lo que puede conllevar a una divulgación innecesaria de información confidencial • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39891.json • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39866
https://notcve.org/view.php?id=CVE-2021-39866
05 Oct 2021 — A business logic error in the project deletion process in GitLab 13.6 and later allows persistent access via project access tokens. Un error de lógica de negocio en el proceso de eliminación de proyectos en GitLab versiones 13.6 y posteriores, permite el acceso persistente por medio de tokens de acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39866.json •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39872
https://notcve.org/view.php?id=CVE-2021-39872
05 Oct 2021 — In all versions of GitLab CE/EE since version 14.1, an improper access control vulnerability allows users with expired password to still access GitLab through git and API through access tokens acquired before password expiration. En todas las versiones de GitLab CE/EE desde la versión 14.1, una vulnerabilidad de control de acceso inapropiada permite a usuarios con la contraseña caducada seguir accediendo a GitLab mediante git y de la API mediante tokens de acceso adquiridos antes de la caducidad de la contr... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39872.json • CWE-287: Improper Authentication •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39894
https://notcve.org/view.php?id=CVE-2021-39894
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.0, a DNS rebinding vulnerability exists in Fogbugz importer which may be used by attackers to exploit Server Side Request Forgery attacks. En todas las versiones de GitLab CE/EE desde la versión 8.0, se presenta una vulnerabilidad de reenganche de DNS en el importador Fogbugz que puede ser usada por atacantes para explotar ataques de tipo Server Side Request Forgery • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39894.json • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39869
https://notcve.org/view.php?id=CVE-2021-39869
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.9, project exports may expose trigger tokens configured on that project. En todas las versiones de GitLab CE/EE desde la versión 8.9, las exportaciones de proyectos pueden desencadenar la exposición de los tokens configurados en ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39869.json •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39867
https://notcve.org/view.php?id=CVE-2021-39867
05 Oct 2021 — In all versions of GitLab CE/EE since version 8.15, a DNS rebinding vulnerability in Gitea Importer may be exploited by an attacker to trigger Server Side Request Forgery (SSRF) attacks. En todas las versiones de GitLab CE/EE desde la versión 8.15, una vulnerabilidad de reenganche de DNS en Gitea Importer puede ser explotada por un atacante para desencadenar ataques de tipo Server Side Request Forgery (SSRF) • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39867.json • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39875
https://notcve.org/view.php?id=CVE-2021-39875
05 Oct 2021 — In all versions of GitLab CE/EE since version 13.6, it is possible to see pending invitations of any public group or public project by visiting an API endpoint. En todas las versiones de GitLab CE/EE desde la versión 13.6, es posible visualizar las invitaciones pendientes de cualquier grupo público o proyecto público al visitar un endpoint de la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39875.json •