CVSS: 8.7EPSS: 0%CPEs: 3EXPL: 2CVE-2021-39885
https://notcve.org/view.php?id=CVE-2021-39885
04 Oct 2021 — A Stored XSS in merge request creation page in all versions of Gitlab EE starting from 13.7 before 14.1.7, all versions starting from 14.2 before 14.2.5, and all versions starting from 14.3 before 14.3.1 allows an attacker to execute arbitrary JavaScript code on the victim's behalf via malicious approval rule names Un XSS almacenado en la página de creación de solicitudes de fusión en todas las versiones de Gitlab EE a partir de la 13.7 antes de la 14.1.7, todas las versiones a partir de la 14.2 antes de la... • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39885.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 4EXPL: 0CVE-2021-22239
https://notcve.org/view.php?id=CVE-2021-22239
09 Sep 2021 — An unauthorized user was able to insert metadata when creating new issue on GitLab CE/EE 14.0 and later. Un usuario no autorizado podía insertar metadatos cuando creaba una nueva incidencia en GitLab CE/EE versiones 14.0 y posteriores • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22239.json • CWE-863: Incorrect Authorization •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-22236
https://notcve.org/view.php?id=CVE-2021-22236
25 Aug 2021 — Due to improper handling of OAuth client IDs, new subscriptions generated OAuth tokens on an incorrect OAuth client application. This vulnerability is present in GitLab CE/EE since version 14.1. Debido a un manejo inapropiado de los ID de cliente OAuth, las nuevas suscripciones generaban tokens OAuth en una aplicación de cliente OAuth incorrecta. Esta vulnerabilidad está presente en GitLab CE/EE desde la versión 14.1. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22236.json • CWE-863: Incorrect Authorization •
CVSS: 8.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22242
https://notcve.org/view.php?id=CVE-2021-22242
25 Aug 2021 — Insufficient input sanitization in Mermaid markdown in GitLab CE/EE version 11.4 and up allows an attacker to exploit a stored cross-site scripting vulnerability via a specially-crafted markdown Un saneo de entradas insuficiente en el markdown de Mermaid en GitLab CE/EE versión 11.4 y superiores, permite a un atacante explotar una vulnerabilidad de tipo cross-site scripting almacenado por medio de un markdown especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22242.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.6EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22237
https://notcve.org/view.php?id=CVE-2021-22237
25 Aug 2021 — Under specialized conditions, GitLab may allow a user with an impersonation token to perform Git actions even if impersonation is disabled. This vulnerability is present in GitLab CE/EE versions before 13.12.9, 14.0.7, 14.1.2 En condiciones especiales, GitLab puede permitir que un usuario con un token de suplantación lleve a cabo acciones de Git aunque la suplantación esté desactivada. Esta vulnerabilidad está presente en GitLab CE/EE versiones anteriores a 13.12.9, 14.0.7, 14.1.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22237.json • CWE-384: Session Fixation •
CVSS: 5.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22243
https://notcve.org/view.php?id=CVE-2021-22243
25 Aug 2021 — Under specialized conditions, GitLab CE/EE versions starting 7.10 may allow existing GitLab users to use an invite URL meant for another email address to gain access into a group. En condiciones especiales, GitLab CE/EE versiones a partir de la 7.10, pueden permitir a usuarios existentes de GitLab usar una URL de invitación destinada a otra dirección de correo electrónico para conseguir acceso a un grupo. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22243.json • CWE-863: Incorrect Authorization •
CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22244
https://notcve.org/view.php?id=CVE-2021-22244
25 Aug 2021 — Improper authorization in the vulnerability report feature in GitLab EE affecting all versions since 13.1 allowed a reporter to access vulnerability data Una autorización inapropiada en la funcionalidad vulnerability report en GitLab EE, afectando a todas las versiones desde la 13.1, permitía a un informador acceder a los datos de la vulnerabilidad • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22244.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22247
https://notcve.org/view.php?id=CVE-2021-22247
25 Aug 2021 — Improper authorization in GitLab CE/EE affecting all versions since 13.0 allows guests in private projects to view CI/CD analytics Una autorización inapropiada en GitLab CE/EE, afectando a todas las versiones desde la 13.0, permite a invitados de proyectos privados visualizar los análisis de CI/CD. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22247.json • CWE-863: Incorrect Authorization •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22245
https://notcve.org/view.php?id=CVE-2021-22245
25 Aug 2021 — Improper validation of commit author in GitLab CE/EE affecting all versions allowed an attacker to make several pages in a project impossible to view Una comprobación inapropiada del autor de los commit en GitLab CE/EE, afectando a todas las versiones, permitía a un atacante imposibilitar la visualización de varias páginas de un proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22245.json • CWE-20: Improper Input Validation •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22256
https://notcve.org/view.php?id=CVE-2021-22256
25 Aug 2021 — Improper authorization in GitLab CE/EE affecting all versions since 12.6 allowed guest users to create issues for Sentry errors and track their status Una autorización inapropiada en GitLab CE/EE, afectando a todas las versiones desde la 12.6, permitía a usuarios invitados crear problemas para los errores de Sentry y seguir su estado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22256.json • CWE-863: Incorrect Authorization •