CVE-2021-22233
https://notcve.org/view.php?id=CVE-2021-22233
An information disclosure vulnerability in GitLab EE versions 13.10 and later allowed a user to read project details Una vulnerabilidad de divulgación de información en GitLab EE versiones 13.10 y posteriores, permitía a un usuario leer detalles del proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22233.json https://gitlab.com/gitlab-org/gitlab/-/issues/329446 • CWE-862: Missing Authorization •
CVE-2021-22230
https://notcve.org/view.php?id=CVE-2021-22230
Improper code rendering while rendering merge requests could be exploited to submit malicious code. This vulnerability affects GitLab CE/EE 9.3 and later through 13.11.6, 13.12.6, and 14.0.2. Una renderización inapropiada del código al renderizar las peticiones de fusión podría ser explotada para enviar código malicioso. Esta vulnerabilidad afecta a GitLab CE/EE versiones 9.3 y posteriores hasta 13.11.6, 13.12.6 y 14.0.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22230.json https://gitlab.com/gitlab-org/gitlab/-/issues/211976 •
CVE-2021-22227
https://notcve.org/view.php?id=CVE-2021-22227
A reflected cross-site script vulnerability in GitLab before versions 13.11.6, 13.12.6 and 14.0.2 allowed an attacker to send a malicious link to a victim and trigger actions on their behalf if they clicked it Una vulnerabilidad de tipo cross-site script reflejada en GitLab versiones anteriores a 13.11.6, 13.12.6 y 14.0.2, permitía a un atacante enviar un enlace malicioso a una víctima y desencadenar acciones en su nombre si hacían clic en él • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22227.json https://gitlab.com/gitlab-org/gitlab/-/issues/212887 https://hackerone.com/reports/834555 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-22231
https://notcve.org/view.php?id=CVE-2021-22231
A denial of service in user's profile page is found starting with GitLab CE/EE 8.0 that allows attacker to reject access to their profile page via using a specially crafted username. Se ha detectado una denegación de servicio en la página de perfil del usuario a partir de GitLab CE/EE versión 8.0, que permite a un atacante rechazar el acceso a su página de perfil por medio de un nombre de usuario especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22231.json https://gitlab.com/gitlab-org/gitlab/-/issues/26295 https://hackerone.com/reports/475098 •
CVE-2021-22223
https://notcve.org/view.php?id=CVE-2021-22223
Client-Side code injection through Feature Flag name in GitLab CE/EE starting with 11.9 allows a specially crafted feature flag name to PUT requests on behalf of other users via clicking on a link Una inyección de código del lado del cliente mediante la funcionalidad Flag name en GitLab CE/EE a partir de la versión 11.9 permite que una funcionalidad Flag name especialmente diseñada realice peticiones PUT en nombre de otros usuarios por medio de un click a un enlace • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22223.json https://gitlab.com/gitlab-org/gitlab/-/issues/293946 https://hackerone.com/reports/1059557 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •