CVE-2021-39943
https://notcve.org/view.php?id=CVE-2021-39943
An authorization logic error in the External Status Check API in GitLab EE affecting all versions starting from 14.1 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allowed a user to update the status of the check via an API call Un error de lógica de autorización en la API de comprobación de estado externo en GitLab EE afectando a todas las versiones a partir de la 14.1 anteriores a 14.3.6, a todas las versiones a partir de la 14.4 anteriores a 14.4.4, a todas las versiones a partir de la 14.5 anteriores a 14.5.2, permitía a un usuario actualizar el estado de la comprobación por medio de una llamada a la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39943.json https://gitlab.com/gitlab-org/gitlab/-/issues/343604 https://hackerone.com/reports/1375393 • CWE-863: Incorrect Authorization •
CVE-2021-39892
https://notcve.org/view.php?id=CVE-2021-39892
In all versions of GitLab CE/EE since version 12.0, a lower privileged user can import users from projects that they don't have a maintainer role on and disclose email addresses of those users. En todas las versiones de GitLab CE/EE desde la versión 12.0, un usuario con bajos privilegios puede importar usuarios de proyectos en los que no presenta rol de mantenedor y revelar las direcciones de correo electrónico de esos usuarios • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39892.json https://gitlab.com/gitlab-org/gitlab/-/issues/28440 https://hackerone.com/reports/542539 •
CVE-2021-39942
https://notcve.org/view.php?id=CVE-2021-39942
A denial of service vulnerability in GitLab CE/EE affecting all versions starting from 12.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows low-privileged users to bypass file size limits in the NPM package repository to potentially cause denial of service. Una vulnerabilidad de denegación de servicio en GitLab CE/EE que afecta a todas las versiones a partir de la 12.0 anteriores a 14.3.6, a todas las versiones a partir de la 14.4 anteriores a 14.4.4, a todas las versiones a partir de la 14.5 anteriores a 14.5.2, permite a usuarios poco privilegiados omitir los límites de tamaño de los archivos en el repositorio de paquetes NPM para causar potencialmente una denegación de servicio • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39942.json https://gitlab.com/gitlab-org/gitlab/-/issues/297492 https://hackerone.com/reports/1071861 • CWE-400: Uncontrolled Resource Consumption •
CVE-2021-39946
https://notcve.org/view.php?id=CVE-2021-39946
Improper neutralization of user input in GitLab CE/EE versions 14.3 to 14.3.6, 14.4 to 14.4.4, and 14.5 to 14.5.2 allowed an attacker to exploit XSS by abusing the generation of the HTML code related to emojis Una neutralización inapropiada de la entrada del usuario en GitLab CE/EE versiones 14.3 a 14.3.6, 14.4 a 14.4.4 y 14.5 a 14.5.2, permitía a un atacante explotar una vulnerabilidad de tipo XSS al abusar de la generación del código HTML relacionado con los emojis • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39946.json https://gitlab.com/gitlab-org/gitlab/-/issues/345657 https://hackerone.com/reports/1398305 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-0090
https://notcve.org/view.php?id=CVE-2022-0090
An issue has been discovered affecting GitLab versions prior to 14.4.5, between 14.5.0 and 14.5.3, and between 14.6.0 and 14.6.1. GitLab is configured in a way that it doesn't ignore replacement references with git sub-commands, allowing a malicious user to spoof the contents of their commits in the UI. Se ha detectado un problema que afecta a versiones de GitLab anteriores a la 14.4.5, entre la 14.5.0 y la 14.5.3, y entre la 14.6.0 y la 14.6.1. GitLab está configurado de forma que no ignora las referencias de reemplazo con subcomandos git, lo que permite a un usuario malicioso falsificar el contenido de sus confirmaciones en la Interfaz de Usuario • https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-0090.json https://gitlab.com/gitlab-org/gitaly/-/issues/3948 https://hackerone.com/reports/1415964 • CWE-269: Improper Privilege Management •