CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39901
https://notcve.org/view.php?id=CVE-2021-39901
In all versions of GitLab CE/EE since version 11.10, an admin of a group can see the SCIM token of that group by visiting a specific endpoint. En todas las versiones de GitLab CE/EE desde versión 11.10, un administrador de un grupo puede visualizar el token SCIM de ese grupo visitando un endpoint específico • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39901.json https://gitlab.com/gitlab-org/gitlab/-/issues/11640 https://hackerone.com/reports/565884 •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39913
https://notcve.org/view.php?id=CVE-2021-39913
Accidental logging of system root password in the migration log in all versions of GitLab CE/EE before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows an attacker with local file system access to obtain system root-level privileges El registro accidental de la contraseña de root del sistema en el registro de migración en todas las versiones de GitLab CE/EE anteriores a la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante con acceso al sistema de archivos local obtener privilegios a nivel de root del sistema • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39913.json https://gitlab.com/gitlab-org/gitlab/-/issues/28074 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 5EXPL: 0CVE-2021-39909
https://notcve.org/view.php?id=CVE-2021-39909
Lack of email address ownership verification in the CODEOWNERS feature in all versions of GitLab EE starting from 11.3 before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows an attacker to bypass CODEOWNERS Merge Request approval requirement under rare circumstances La falta de verificación de la propiedad de la dirección de correo electrónico en la función CODEOWNERS en todas las versiones de GitLab EE a partir de la 11.3 antes de la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante eludir el requisito de aprobación de la solicitud de fusión CODEOWNERS en raras circunstancias • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39909.json https://gitlab.com/gitlab-org/gitlab/-/issues/335191 https://hackerone.com/reports/1237750 • CWE-347: Improper Verification of Cryptographic Signature •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39903
https://notcve.org/view.php?id=CVE-2021-39903
In all versions of GitLab CE/EE since version 13.0, a privileged user, through an API call, can change the visibility level of a group or a project to a restricted option even after the instance administrator sets that visibility option as restricted in settings. En todas las versiones de GitLab CE/EE desde versión 13.0, un usuario con privilegios, mediante una llamada a la API, puede cambiar el nivel de visibilidad de un grupo o un proyecto a una opción restringida incluso después de que el administrador de la instancia establezca esa opción de visibilidad como restringida en la configuración • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39903.json https://gitlab.com/gitlab-org/gitlab/-/issues/300017 https://hackerone.com/reports/1086781 •
CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39914
https://notcve.org/view.php?id=CVE-2021-39914
A regular expression denial of service issue in GitLab versions 8.13 to 14.2.5, 14.3.0 to 14.3.3 and 14.4.0 could cause excessive usage of resources when a specially crafted username was used when provisioning a new user Un problema de denegación de servicio con expresiones regulares en GitLab versiones 8.13 a 14.2.5, 14.3.0 a 14.3.3 y 14.4.0, podía causar un uso excesivo de recursos cuando se usaba un nombre de usuario especialmente diseñado al aprovisionar un nuevo usuario • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39914.json https://gitlab.com/gitlab-org/gitlab/-/issues/289948 • CWE-400: Uncontrolled Resource Consumption •