CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39884
https://notcve.org/view.php?id=CVE-2021-39884
In all versions of GitLab EE since version 8.13, an endpoint discloses names of private groups that have access to a project to low privileged users that are part of that project. En todas las versiones de GitLab EE desde la versión 8.13, un endpoint divulga nombres de grupos privados que tienen acceso a un proyecto a usuarios con pocos privilegios que forman parte de ese proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39884.json https://gitlab.com/gitlab-org/gitlab/-/issues/25414 https://hackerone.com/reports/447817 •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39882
https://notcve.org/view.php?id=CVE-2021-39882
In all versions of GitLab CE/EE, provided a user ID, anonymous users can use a few endpoints to retrieve information about any GitLab user. En todas las versiones de GitLab CE/EE, siempre que se disponga de un ID de usuario, unos usuarios anónimos pueden usar algunos endpoints para recuperar información sobre cualquier usuario de GitLab • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39882.json https://gitlab.com/gitlab-org/gitlab/-/issues/297473 • CWE-319: Cleartext Transmission of Sensitive Information •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39893
https://notcve.org/view.php?id=CVE-2021-39893
A potential DOS vulnerability was discovered in GitLab starting with version 9.1 that allowed parsing files without authorisation. En GitLab, a partir de la versión 9.1, se ha detectado una potencial vulnerabilidad de DOS que permitía analizar archivos sin autorización • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39893.json https://gitlab.com/gitlab-org/gitlab/-/issues/340076 • CWE-862: Missing Authorization •
CVSS: 5.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39878
https://notcve.org/view.php?id=CVE-2021-39878
A stored Reflected Cross-Site Scripting vulnerability in the Jira integration in GitLab version 13.0 up to 14.3.1 allowed an attacker to execute arbitrary javascript code. Una vulnerabilidad de tipo Cross-Site Scripting reflejado almacenado en la integración de Jira en GitLab versión 13.0 hasta 14.3.1, permitía a un atacante ejecutar código javascript arbitrario • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39878.json https://gitlab.com/gitlab-org/gitlab/-/issues/334043 https://hackerone.com/reports/1194254 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39887
https://notcve.org/view.php?id=CVE-2021-39887
A stored Cross-Site Scripting vulnerability in the GitLab Flavored Markdown in GitLab CE/EE version 8.4 and above allowed an attacker to execute arbitrary JavaScript code on the victim's behalf. Una vulnerabilidad de tipo Cross-Site Scripting almacenado en el GitLab Flavored Markdown en GitLab CE/EE versión 8.4 y superior, permitía a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39887.json https://gitlab.com/gitlab-org/gitlab/-/issues/332903 https://hackerone.com/reports/1218174 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •