CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39918
https://notcve.org/view.php?id=CVE-2021-39918
Incorrect Authorization in GitLab EE affecting all versions starting from 11.1 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows a user to add comments to a vulnerability which cannot be accessed. Una Autorización Incorrecta en GitLab EE afectando a todas las versiones a partir de 11.1 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un usuario añadir comentarios a una vulnerabilidad a la que no es posible acceder • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39918.json https://gitlab.com/gitlab-org/gitlab/-/issues/329916 https://hackerone.com/reports/1180043 • CWE-863: Incorrect Authorization •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 2CVE-2021-22170
https://notcve.org/view.php?id=CVE-2021-22170
Assuming a database breach, nonce reuse issues in GitLab 11.6+ allows an attacker to decrypt some of the database's encrypted content Suponiendo una violación de la base de datos, los problemas de reúso de nonce en GitLab versión 11.6+ permiten a un atacante descifrar parte del contenido cifrado de la base de datos • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22170.json https://gitlab.com/gitlab-org/gitlab/-/issues/36855 • CWE-327: Use of a Broken or Risky Cryptographic Algorithm •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39898
https://notcve.org/view.php?id=CVE-2021-39898
In all versions of GitLab CE/EE since version 10.6, a project export leaks the external webhook token value which may allow access to the project which it was exported from. En todas las versiones de GitLab CE/EE desde versión 10.6, una exportación de proyecto filtra el valor del token externo de webhook que puede permitir el acceso al proyecto desde el que se exportó • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39898.json https://gitlab.com/gitlab-org/gitlab/-/issues/33734 https://hackerone.com/reports/698068 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-39905
https://notcve.org/view.php?id=CVE-2021-39905
An information disclosure vulnerability in the GitLab CE/EE API since version 8.9.6 allows a user to see basic information on private groups that a public project has been shared with Una vulnerabilidad de divulgación de información en la API de GitLab CE/EE desde la versión 8.9.6 permite a un usuario visualizar información básica sobre grupos privados con los que se ha compartido un proyecto público • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39905.json https://gitlab.com/gitlab-org/gitlab/-/issues/28226 https://hackerone.com/reports/538029 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 1CVE-2021-39904
https://notcve.org/view.php?id=CVE-2021-39904
An Improper Access Control vulnerability in the GraphQL API in all versions of GitLab CE/EE starting from 13.1 before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows a Merge Request creator to resolve discussions and apply suggestions after a project owner has locked the Merge Request Una vulnerabilidad de control de acceso inadecuado en la API GraphQL en todas las versiones de GitLab CE/EE a partir de la 13.1 antes de la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un creador de solicitudes de fusión resolver debates y aplicar sugerencias después de que el propietario de un proyecto haya bloqueado la solicitud de fusión • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39904.json https://gitlab.com/gitlab-org/gitlab/-/issues/295298 https://hackerone.com/reports/1063420 • CWE-863: Incorrect Authorization •