CVE-2021-22254
https://notcve.org/view.php?id=CVE-2021-22254
Under very specific conditions a user could be impersonated using Gitlab shell. This vulnerability affects GitLab CE/EE 13.1 and later through 14.1.2, 14.0.7 and 13.12.9. En condiciones muy específicas se podría suplantar la identidad de un usuario usando el shell de Gitlab. Esta vulnerabilidad afecta a GitLab CE/EE versión 13.1 y posteriores hasta 14.1.2, 14.0.7 y 13.12.9. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22254.json https://gitlab.com/gitlab-org/gitlab/-/issues/300265 https://hackerone.com/reports/1087806 • CWE-116: Improper Encoding or Escaping of Output •
CVE-2021-22240
https://notcve.org/view.php?id=CVE-2021-22240
Improper access control in GitLab EE versions 13.11.6, 13.12.6, and 14.0.2 allows users to be created via single sign on despite user cap being enabled Un control de acceso inapropiado en GitLab EE versiones 13.11.6, 13.12.6 y 14.0.2, permite la creación de usuarios por medio de single sign on a pesar de estar habilitado el user cap • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22240.json https://gitlab.com/gitlab-org/gitlab/-/issues/327641 https://hackerone.com/reports/1166566 • CWE-863: Incorrect Authorization •
CVE-2021-22230
https://notcve.org/view.php?id=CVE-2021-22230
Improper code rendering while rendering merge requests could be exploited to submit malicious code. This vulnerability affects GitLab CE/EE 9.3 and later through 13.11.6, 13.12.6, and 14.0.2. Una renderización inapropiada del código al renderizar las peticiones de fusión podría ser explotada para enviar código malicioso. Esta vulnerabilidad afecta a GitLab CE/EE versiones 9.3 y posteriores hasta 13.11.6, 13.12.6 y 14.0.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22230.json https://gitlab.com/gitlab-org/gitlab/-/issues/211976 •
CVE-2021-22227
https://notcve.org/view.php?id=CVE-2021-22227
A reflected cross-site script vulnerability in GitLab before versions 13.11.6, 13.12.6 and 14.0.2 allowed an attacker to send a malicious link to a victim and trigger actions on their behalf if they clicked it Una vulnerabilidad de tipo cross-site script reflejada en GitLab versiones anteriores a 13.11.6, 13.12.6 y 14.0.2, permitía a un atacante enviar un enlace malicioso a una víctima y desencadenar acciones en su nombre si hacían clic en él • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22227.json https://gitlab.com/gitlab-org/gitlab/-/issues/212887 https://hackerone.com/reports/834555 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-22231
https://notcve.org/view.php?id=CVE-2021-22231
A denial of service in user's profile page is found starting with GitLab CE/EE 8.0 that allows attacker to reject access to their profile page via using a specially crafted username. Se ha detectado una denegación de servicio en la página de perfil del usuario a partir de GitLab CE/EE versión 8.0, que permite a un atacante rechazar el acceso a su página de perfil por medio de un nombre de usuario especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22231.json https://gitlab.com/gitlab-org/gitlab/-/issues/26295 https://hackerone.com/reports/475098 •