Page 61 of 374 results (0.003 seconds)

CVSS: 6.8EPSS: 0%CPEs: 6EXPL: 0

An issue has been discovered in GitLab affecting all versions starting from 13.8 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. Under specialized conditions, an invited group member may continue to have access to a project even after the invited group, which the member was part of, is deleted. Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 13.8 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. En condiciones especiales, un miembro de un grupo invitado puede seguir teniendo acceso a un proyecto incluso después de que se elimine el grupo invitado del que formaba parte • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22264.json https://gitlab.com/gitlab-org/gitlab/-/issues/336073 •

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0

In all versions of GitLab CE/EE since version 11.11, an instance that has the setting to disable Repo by URL import enabled is bypassed by an attacker making a crafted API call. En todas las versiones de GitLab CE/EE a partir de la versión 11.11, un atacante que realice una llamada a la API diseñada puede omitir una instancia que tenga habilitada la opción de desactivar la importación de repositorios por URL • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39870.json https://gitlab.com/gitlab-org/gitlab/-/issues/29748 https://hackerone.com/reports/630263 •

CVSS: 3.5EPSS: 0%CPEs: 6EXPL: 0

In all versions of GitLab CE/EE since version 7.7, the application may let a malicious user create an OAuth client application with arbitrary scope names which may allow the malicious user to trick unsuspecting users to authorize the malicious client application using the spoofed scope name and description. En todas las versiones de GitLab CE/EE desde la versión 7.7, la aplicación puede permitir a un usuario malicioso crear una aplicación cliente OAuth con nombres de ámbito arbitrarios que pueden permitir al usuario malicioso engañar a usuarios desprevenidos para que autoricen la aplicación cliente maliciosa usando el nombre de ámbito y descripción falsos • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39881.json https://gitlab.com/gitlab-org/gitlab/-/issues/26695 https://hackerone.com/reports/494530 •

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0

Permissions rules were not applied while issues were moved between projects of the same group in GitLab versions starting with 10.6 and up to 14.1.7 allowing users to read confidential Epic references. Las reglas de permisos no se aplicaban mientras las incidencias se movían entre proyectos del mismo grupo en las versiones de GitLab a partir de la 10.6 y hasta la 14.1.7, permitiendo a usuarios leer referencias Ëpicas confidenciales • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39886.json https://gitlab.com/gitlab-org/gitlab/-/issues/330520 • CWE-276: Incorrect Default Permissions •

CVSS: 5.9EPSS: 0%CPEs: 6EXPL: 0

In all versions of GitLab CE/EE since version 8.0, access tokens created as part of admin's impersonation of a user are not cleared at the end of impersonation which may lead to unnecessary sensitive info disclosure. En todas las versiones de GitLab CE/EE desde la versión 8.0, los tokens de acceso creados como parte de la suplantación de un usuario por parte del administrador no se borran al final de la suplantación, lo que puede conllevar a una divulgación innecesaria de información confidencial • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39891.json https://gitlab.com/gitlab-org/gitlab/-/issues/335137 • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •