CVE-2021-39914
https://notcve.org/view.php?id=CVE-2021-39914
A regular expression denial of service issue in GitLab versions 8.13 to 14.2.5, 14.3.0 to 14.3.3 and 14.4.0 could cause excessive usage of resources when a specially crafted username was used when provisioning a new user Un problema de denegación de servicio con expresiones regulares en GitLab versiones 8.13 a 14.2.5, 14.3.0 a 14.3.3 y 14.4.0, podía causar un uso excesivo de recursos cuando se usaba un nombre de usuario especialmente diseñado al aprovisionar un nuevo usuario • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39914.json https://gitlab.com/gitlab-org/gitlab/-/issues/289948 • CWE-400: Uncontrolled Resource Consumption •
CVE-2021-22263
https://notcve.org/view.php?id=CVE-2021-22263
An issue has been discovered in GitLab affecting all versions starting from 13.0 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. A user account with 'external' status which is granted 'Maintainer' role on any project on the GitLab instance where 'project tokens' are allowed may elevate its privilege to 'Internal' and access Internal projects. Se ha detectado un problema en GitLab afectando todas las versiones a partir de la 13.0 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. Una cuenta de usuario con estado "external" a la que se le haya concedido el rol "Maintainer" en cualquier proyecto de la instancia de GitLab en la que se permitan los "tokens de proyecto" puede elevar su privilegio a "Internal" y acceder a los proyectos Internos • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22263.json https://gitlab.com/gitlab-org/gitlab/-/issues/331473 https://hackerone.com/reports/1193062 • CWE-269: Improper Privilege Management •
CVE-2021-39880
https://notcve.org/view.php?id=CVE-2021-39880
A Denial Of Service vulnerability in the apollo_upload_server Ruby gem in GitLab CE/EE all versions starting from 11.9 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 allows an attacker to deny access to all users via specially crafted requests to the apollo_upload_server middleware. Una vulnerabilidad de denegación de servicio en la gema apollo_upload_server Ruby en GitLab CE/EE todas las versiones a partir de la 11.9 antes de la 14.0.9, todas las versiones a partir de la 14.1 antes de la 14.1.4, y todas las versiones a partir de la 14.2 antes de la 14.2.2 permite a un atacante denegar el acceso a todos los usuarios a través de peticiones especialmente diseñadas al middleware apollo_upload_server • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39880.json https://gitlab.com/gitlab-org/gitlab/-/issues/330561 https://hackerone.com/reports/1181284 •
CVE-2021-22258
https://notcve.org/view.php?id=CVE-2021-22258
The project import/export feature in GitLab 8.9 and greater could be used to obtain otherwise private email addresses La función de importación/exportación de proyectos en GitLab versiones 8.9 y superiores, podría usarse para obtener direcciones de correo electrónico que de otro modo serían privadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22258.json https://gitlab.com/gitlab-org/gitlab/-/issues/24231 https://hackerone.com/reports/410436 •
CVE-2021-22264
https://notcve.org/view.php?id=CVE-2021-22264
An issue has been discovered in GitLab affecting all versions starting from 13.8 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. Under specialized conditions, an invited group member may continue to have access to a project even after the invited group, which the member was part of, is deleted. Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 13.8 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. En condiciones especiales, un miembro de un grupo invitado puede seguir teniendo acceso a un proyecto incluso después de que se elimine el grupo invitado del que formaba parte • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22264.json https://gitlab.com/gitlab-org/gitlab/-/issues/336073 •