CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39869
https://notcve.org/view.php?id=CVE-2021-39869
In all versions of GitLab CE/EE since version 8.9, project exports may expose trigger tokens configured on that project. En todas las versiones de GitLab CE/EE desde la versión 8.9, las exportaciones de proyectos pueden desencadenar la exposición de los tokens configurados en ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39869.json https://gitlab.com/gitlab-org/gitlab/-/issues/27044 https://hackerone.com/reports/497144 •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39867
https://notcve.org/view.php?id=CVE-2021-39867
In all versions of GitLab CE/EE since version 8.15, a DNS rebinding vulnerability in Gitea Importer may be exploited by an attacker to trigger Server Side Request Forgery (SSRF) attacks. En todas las versiones de GitLab CE/EE desde la versión 8.15, una vulnerabilidad de reenganche de DNS en Gitea Importer puede ser explotada por un atacante para desencadenar ataques de tipo Server Side Request Forgery (SSRF) • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39867.json https://gitlab.com/gitlab-org/gitlab/-/issues/214401 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39875
https://notcve.org/view.php?id=CVE-2021-39875
In all versions of GitLab CE/EE since version 13.6, it is possible to see pending invitations of any public group or public project by visiting an API endpoint. En todas las versiones de GitLab CE/EE desde la versión 13.6, es posible visualizar las invitaciones pendientes de cualquier grupo público o proyecto público al visitar un endpoint de la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39875.json https://gitlab.com/gitlab-org/gitlab/-/issues/290985 https://hackerone.com/reports/1048259 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39884
https://notcve.org/view.php?id=CVE-2021-39884
In all versions of GitLab EE since version 8.13, an endpoint discloses names of private groups that have access to a project to low privileged users that are part of that project. En todas las versiones de GitLab EE desde la versión 8.13, un endpoint divulga nombres de grupos privados que tienen acceso a un proyecto a usuarios con pocos privilegios que forman parte de ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39884.json https://gitlab.com/gitlab-org/gitlab/-/issues/25414 https://hackerone.com/reports/447817 •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39882
https://notcve.org/view.php?id=CVE-2021-39882
In all versions of GitLab CE/EE, provided a user ID, anonymous users can use a few endpoints to retrieve information about any GitLab user. En todas las versiones de GitLab CE/EE, siempre que se disponga de un ID de usuario, unos usuarios anónimos pueden usar algunos endpoints para recuperar información sobre cualquier usuario de GitLab • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39882.json https://gitlab.com/gitlab-org/gitlab/-/issues/297473 • CWE-319: Cleartext Transmission of Sensitive Information •