CVSS: 8.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22242
https://notcve.org/view.php?id=CVE-2021-22242
Insufficient input sanitization in Mermaid markdown in GitLab CE/EE version 11.4 and up allows an attacker to exploit a stored cross-site scripting vulnerability via a specially-crafted markdown Un saneo de entradas insuficiente en el markdown de Mermaid en GitLab CE/EE versión 11.4 y superiores, permite a un atacante explotar una vulnerabilidad de tipo cross-site scripting almacenado por medio de un markdown especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22242.json https://gitlab.com/gitlab-org/gitlab/-/issues/332528 https://hackerone.com/reports/1212822 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22243
https://notcve.org/view.php?id=CVE-2021-22243
Under specialized conditions, GitLab CE/EE versions starting 7.10 may allow existing GitLab users to use an invite URL meant for another email address to gain access into a group. En condiciones especiales, GitLab CE/EE versiones a partir de la 7.10, pueden permitir a usuarios existentes de GitLab usar una URL de invitación destinada a otra dirección de correo electrónico para conseguir acceso a un grupo. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22243.json https://gitlab.com/gitlab-org/gitlab/-/issues/325934 • CWE-863: Incorrect Authorization •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22245
https://notcve.org/view.php?id=CVE-2021-22245
Improper validation of commit author in GitLab CE/EE affecting all versions allowed an attacker to make several pages in a project impossible to view Una comprobación inapropiada del autor de los commit en GitLab CE/EE, afectando a todas las versiones, permitía a un atacante imposibilitar la visualización de varias páginas de un proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22245.json https://gitlab.com/gitlab-org/gitlab/-/issues/255612 https://hackerone.com/reports/987689 • CWE-20: Improper Input Validation •
CVSS: 7.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22246
https://notcve.org/view.php?id=CVE-2021-22246
A vulnerability was discovered in GitLab versions before 14.0.2, 13.12.6, 13.11.6. GitLab Webhook feature could be abused to perform denial of service attacks. Se ha detectado una vulnerabilidad en GitLab versiones anteriores a 14.0.2, 13.12.6 y 13.11.6. La funcionalidad GitLab Webhook podría ser abusada para llevar a cabo ataques de denegación de servicio. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22246.json https://gitlab.com/gitlab-org/gitlab/-/issues/280633 https://hackerone.com/reports/1029269 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22230
https://notcve.org/view.php?id=CVE-2021-22230
Improper code rendering while rendering merge requests could be exploited to submit malicious code. This vulnerability affects GitLab CE/EE 9.3 and later through 13.11.6, 13.12.6, and 14.0.2. Una renderización inapropiada del código al renderizar las peticiones de fusión podría ser explotada para enviar código malicioso. Esta vulnerabilidad afecta a GitLab CE/EE versiones 9.3 y posteriores hasta 13.11.6, 13.12.6 y 14.0.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22230.json https://gitlab.com/gitlab-org/gitlab/-/issues/211976 •