CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39914
https://notcve.org/view.php?id=CVE-2021-39914
A regular expression denial of service issue in GitLab versions 8.13 to 14.2.5, 14.3.0 to 14.3.3 and 14.4.0 could cause excessive usage of resources when a specially crafted username was used when provisioning a new user Un problema de denegación de servicio con expresiones regulares en GitLab versiones 8.13 a 14.2.5, 14.3.0 a 14.3.3 y 14.4.0, podía causar un uso excesivo de recursos cuando se usaba un nombre de usuario especialmente diseñado al aprovisionar un nuevo usuario • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39914.json https://gitlab.com/gitlab-org/gitlab/-/issues/289948 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 2CVE-2021-22263
https://notcve.org/view.php?id=CVE-2021-22263
An issue has been discovered in GitLab affecting all versions starting from 13.0 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. A user account with 'external' status which is granted 'Maintainer' role on any project on the GitLab instance where 'project tokens' are allowed may elevate its privilege to 'Internal' and access Internal projects. Se ha detectado un problema en GitLab afectando todas las versiones a partir de la 13.0 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. Una cuenta de usuario con estado "external" a la que se le haya concedido el rol "Maintainer" en cualquier proyecto de la instancia de GitLab en la que se permitan los "tokens de proyecto" puede elevar su privilegio a "Internal" y acceder a los proyectos Internos • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22263.json https://gitlab.com/gitlab-org/gitlab/-/issues/331473 https://hackerone.com/reports/1193062 • CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39880
https://notcve.org/view.php?id=CVE-2021-39880
A Denial Of Service vulnerability in the apollo_upload_server Ruby gem in GitLab CE/EE all versions starting from 11.9 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 allows an attacker to deny access to all users via specially crafted requests to the apollo_upload_server middleware. Una vulnerabilidad de denegación de servicio en la gema apollo_upload_server Ruby en GitLab CE/EE todas las versiones a partir de la 11.9 antes de la 14.0.9, todas las versiones a partir de la 14.1 antes de la 14.1.4, y todas las versiones a partir de la 14.2 antes de la 14.2.2 permite a un atacante denegar el acceso a todos los usuarios a través de peticiones especialmente diseñadas al middleware apollo_upload_server • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39880.json https://gitlab.com/gitlab-org/gitlab/-/issues/330561 https://hackerone.com/reports/1181284 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22258
https://notcve.org/view.php?id=CVE-2021-22258
The project import/export feature in GitLab 8.9 and greater could be used to obtain otherwise private email addresses La función de importación/exportación de proyectos en GitLab versiones 8.9 y superiores, podría usarse para obtener direcciones de correo electrónico que de otro modo serían privadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22258.json https://gitlab.com/gitlab-org/gitlab/-/issues/24231 https://hackerone.com/reports/410436 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39870
https://notcve.org/view.php?id=CVE-2021-39870
In all versions of GitLab CE/EE since version 11.11, an instance that has the setting to disable Repo by URL import enabled is bypassed by an attacker making a crafted API call. En todas las versiones de GitLab CE/EE a partir de la versión 11.11, un atacante que realice una llamada a la API diseñada puede omitir una instancia que tenga habilitada la opción de desactivar la importación de repositorios por URL • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39870.json https://gitlab.com/gitlab-org/gitlab/-/issues/29748 https://hackerone.com/reports/630263 •