CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39917
https://notcve.org/view.php?id=CVE-2021-39917
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.9 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. A regular expression related to quick actions features was susceptible to catastrophic backtracking that could cause a DOS attack. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 12.9 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2. Una expresión regular relacionada con las características de las acciones rápidas era susceptible de un retroceso catastrófico que podía causar un ataque DOS • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39917.json https://gitlab.com/gitlab-org/gitlab/-/issues/338486 https://hackerone.com/reports/1277918 • CWE-697: Incorrect Comparison •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39934
https://notcve.org/view.php?id=CVE-2021-39934
Improper access control allows any project member to retrieve the service desk email address in GitLab CE/EE versions starting 12.10 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Un control de acceso inapropiado permite a cualquier miembro del proyecto recuperar la dirección de correo electrónico de la mesa de servicio en GitLab CE/EE versiones a partir de 12.10 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39934.json https://gitlab.com/gitlab-org/gitlab/-/issues/342823 https://hackerone.com/reports/1360744 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39916
https://notcve.org/view.php?id=CVE-2021-39916
Lack of an access control check in the External Status Check feature allowed any authenticated user to retrieve the configuration of any External Status Check in GitLab EE starting from 14.1 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Una falta de una comprobación de control de acceso en la función de comprobación de estado externa permitía a cualquier usuario autenticado recuperar la configuración de cualquier comprobación de estado externa en GitLab EE a partir de la versión 14.1 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39916.json https://gitlab.com/gitlab-org/gitlab/-/issues/343379 https://hackerone.com/reports/1372216 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.4EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39919
https://notcve.org/view.php?id=CVE-2021-39919
In all versions of GitLab CE/EE starting version 14.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, the reset password token and new user email token are accidentally logged which may lead to information disclosure. En todas las versiones de GitLab CE/EE a partir de versión 14.0 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, el token de restablecimiento de contraseña y el token de correo electrónico del nuevo usuario son registradas accidentalmente, lo que puede conllevar a una divulgación de información • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39919.json https://gitlab.com/gitlab-org/gitlab/-/issues/342445 • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39915
https://notcve.org/view.php?id=CVE-2021-39915
Improper access control in the GraphQL API in GitLab CE/EE affecting all versions starting from 13.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows an attacker to see the names of project access tokens on arbitrary projects Un control de acceso inapropiado en la API GraphQL en GitLab CE/EE afectando a todas las versiones a partir de 13.0 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un atacante ver los nombres de los tokens de acceso al proyecto en proyectos arbitrarios • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39915.json https://gitlab.com/gitlab-org/gitlab/-/issues/340803 https://hackerone.com/reports/1336059 • CWE-668: Exposure of Resource to Wrong Sphere •