CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39880
https://notcve.org/view.php?id=CVE-2021-39880
A Denial Of Service vulnerability in the apollo_upload_server Ruby gem in GitLab CE/EE all versions starting from 11.9 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 allows an attacker to deny access to all users via specially crafted requests to the apollo_upload_server middleware. Una vulnerabilidad de denegación de servicio en la gema apollo_upload_server Ruby en GitLab CE/EE todas las versiones a partir de la 11.9 antes de la 14.0.9, todas las versiones a partir de la 14.1 antes de la 14.1.4, y todas las versiones a partir de la 14.2 antes de la 14.2.2 permite a un atacante denegar el acceso a todos los usuarios a través de peticiones especialmente diseñadas al middleware apollo_upload_server • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39880.json https://gitlab.com/gitlab-org/gitlab/-/issues/330561 https://hackerone.com/reports/1181284 •
CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22261
https://notcve.org/view.php?id=CVE-2021-22261
A stored Cross-Site Scripting vulnerability in the Jira integration in all GitLab versions starting from 13.9 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 allows an attacker to execute arbitrary JavaScript code on the victim's behalf via malicious Jira API responses Una vulnerabilidad de Cross-Site Scripting almacenada en la integración de Jira en todas las versiones de GitLab a partir de la 13.9 antes de la 14.0.9, todas las versiones a partir de la 14.1 antes de la 14.1.4 y todas las versiones a partir de la 14.2 antes de la 14.2.2 permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima a través de respuestas maliciosas de la API de Jira • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22261.json https://gitlab.com/gitlab-org/gitlab/-/issues/328389 https://hackerone.com/reports/1132083 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22258
https://notcve.org/view.php?id=CVE-2021-22258
The project import/export feature in GitLab 8.9 and greater could be used to obtain otherwise private email addresses La función de importación/exportación de proyectos en GitLab versiones 8.9 y superiores, podría usarse para obtener direcciones de correo electrónico que de otro modo serían privadas • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22258.json https://gitlab.com/gitlab-org/gitlab/-/issues/24231 https://hackerone.com/reports/410436 •
CVSS: 6.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22264
https://notcve.org/view.php?id=CVE-2021-22264
An issue has been discovered in GitLab affecting all versions starting from 13.8 before 14.0.9, all versions starting from 14.1 before 14.1.4, all versions starting from 14.2 before 14.2.2. Under specialized conditions, an invited group member may continue to have access to a project even after the invited group, which the member was part of, is deleted. Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 13.8 anteriores a 14.0.9, todas las versiones a partir de la 14.1 anteriores a 14.1.4, todas las versiones a partir de la 14.2 anteriores a 14.2.2. En condiciones especiales, un miembro de un grupo invitado puede seguir teniendo acceso a un proyecto incluso después de que se elimine el grupo invitado del que formaba parte • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22264.json https://gitlab.com/gitlab-org/gitlab/-/issues/336073 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39870
https://notcve.org/view.php?id=CVE-2021-39870
In all versions of GitLab CE/EE since version 11.11, an instance that has the setting to disable Repo by URL import enabled is bypassed by an attacker making a crafted API call. En todas las versiones de GitLab CE/EE a partir de la versión 11.11, un atacante que realice una llamada a la API diseñada puede omitir una instancia que tenga habilitada la opción de desactivar la importación de repositorios por URL • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39870.json https://gitlab.com/gitlab-org/gitlab/-/issues/29748 https://hackerone.com/reports/630263 •