CVE-2021-39932
https://notcve.org/view.php?id=CVE-2021-39932
An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Using large payloads, the diff feature could be used to trigger high load time for users reviewing code changes. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 11.0 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2. Usando cargas útiles grandes, la función diff podría ser usada para desencadenar un alto tiempo de carga para usuarios que revisan los cambios de código • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39932.json https://gitlab.com/gitlab-org/gitlab/-/issues/217360 • CWE-20: Improper Input Validation •
CVE-2021-39917
https://notcve.org/view.php?id=CVE-2021-39917
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.9 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. A regular expression related to quick actions features was susceptible to catastrophic backtracking that could cause a DOS attack. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 12.9 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2. Una expresión regular relacionada con las características de las acciones rápidas era susceptible de un retroceso catastrófico que podía causar un ataque DOS • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39917.json https://gitlab.com/gitlab-org/gitlab/-/issues/338486 https://hackerone.com/reports/1277918 • CWE-697: Incorrect Comparison •
CVE-2021-39934
https://notcve.org/view.php?id=CVE-2021-39934
Improper access control allows any project member to retrieve the service desk email address in GitLab CE/EE versions starting 12.10 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Un control de acceso inapropiado permite a cualquier miembro del proyecto recuperar la dirección de correo electrónico de la mesa de servicio en GitLab CE/EE versiones a partir de 12.10 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39934.json https://gitlab.com/gitlab-org/gitlab/-/issues/342823 https://hackerone.com/reports/1360744 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2021-39916
https://notcve.org/view.php?id=CVE-2021-39916
Lack of an access control check in the External Status Check feature allowed any authenticated user to retrieve the configuration of any External Status Check in GitLab EE starting from 14.1 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Una falta de una comprobación de control de acceso en la función de comprobación de estado externa permitía a cualquier usuario autenticado recuperar la configuración de cualquier comprobación de estado externa en GitLab EE a partir de la versión 14.1 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39916.json https://gitlab.com/gitlab-org/gitlab/-/issues/343379 https://hackerone.com/reports/1372216 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2021-39919
https://notcve.org/view.php?id=CVE-2021-39919
In all versions of GitLab CE/EE starting version 14.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, the reset password token and new user email token are accidentally logged which may lead to information disclosure. En todas las versiones de GitLab CE/EE a partir de versión 14.0 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, el token de restablecimiento de contraseña y el token de correo electrónico del nuevo usuario son registradas accidentalmente, lo que puede conllevar a una divulgación de información • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39919.json https://gitlab.com/gitlab-org/gitlab/-/issues/342445 • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •