CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39913
https://notcve.org/view.php?id=CVE-2021-39913
Accidental logging of system root password in the migration log in all versions of GitLab CE/EE before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows an attacker with local file system access to obtain system root-level privileges El registro accidental de la contraseña de root del sistema en el registro de migración en todas las versiones de GitLab CE/EE anteriores a la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante con acceso al sistema de archivos local obtener privilegios a nivel de root del sistema • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39913.json https://gitlab.com/gitlab-org/gitlab/-/issues/28074 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39897
https://notcve.org/view.php?id=CVE-2021-39897
Improper access control in GitLab CE/EE version 10.5 and above allowed subgroup members with inherited access to a project from a parent group to still have access even after the subgroup is transferred Un control de acceso inapropiado en GitLab CE/EE versión 10.5 y superiores, permitía que miembros de un subgrupo con acceso heredado a un proyecto de un grupo padre siguieran teniendo acceso incluso después de que se transfiriera el subgrupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39897.json https://gitlab.com/gitlab-org/gitlab/-/issues/341017 https://hackerone.com/reports/1330806 • CWE-281: Improper Preservation of Permissions •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39912
https://notcve.org/view.php?id=CVE-2021-39912
A potential DoS vulnerability was discovered in GitLab CE/EE starting with version 13.7. Using a malformed TIFF images was possible to trigger memory exhaustion. Se ha detectado una potencial vulnerabilidad DoS en GitLab CE/EE a partir de la versión 13.7. Usando imágenes TIFF mal formadas era posible desencadenar el agotamiento de la memoria • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39912.json https://gitlab.com/gitlab-org/gitlab/-/issues/341363 https://hackerone.com/reports/1330882 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 8.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39906
https://notcve.org/view.php?id=CVE-2021-39906
Improper validation of ipynb files in GitLab CE/EE version 13.5 and above allows an attacker to execute arbitrary JavaScript code on the victim's behalf. Una comprobación inapropiada de los archivos ipynb en GitLab CE/EE versión 13.5 y superiores, permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39906.json https://gitlab.com/gitlab-org/gitlab/-/issues/341566 https://hackerone.com/reports/1347600 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.3EPSS: 0%CPEs: 5EXPL: 0CVE-2021-39909
https://notcve.org/view.php?id=CVE-2021-39909
Lack of email address ownership verification in the CODEOWNERS feature in all versions of GitLab EE starting from 11.3 before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows an attacker to bypass CODEOWNERS Merge Request approval requirement under rare circumstances La falta de verificación de la propiedad de la dirección de correo electrónico en la función CODEOWNERS en todas las versiones de GitLab EE a partir de la 11.3 antes de la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante eludir el requisito de aprobación de la solicitud de fusión CODEOWNERS en raras circunstancias • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39909.json https://gitlab.com/gitlab-org/gitlab/-/issues/335191 https://hackerone.com/reports/1237750 • CWE-347: Improper Verification of Cryptographic Signature •