CVE-2021-39916
https://notcve.org/view.php?id=CVE-2021-39916
Lack of an access control check in the External Status Check feature allowed any authenticated user to retrieve the configuration of any External Status Check in GitLab EE starting from 14.1 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. Una falta de una comprobación de control de acceso en la función de comprobación de estado externa permitía a cualquier usuario autenticado recuperar la configuración de cualquier comprobación de estado externa en GitLab EE a partir de la versión 14.1 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39916.json https://gitlab.com/gitlab-org/gitlab/-/issues/343379 https://hackerone.com/reports/1372216 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2021-39919
https://notcve.org/view.php?id=CVE-2021-39919
In all versions of GitLab CE/EE starting version 14.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, the reset password token and new user email token are accidentally logged which may lead to information disclosure. En todas las versiones de GitLab CE/EE a partir de versión 14.0 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, el token de restablecimiento de contraseña y el token de correo electrónico del nuevo usuario son registradas accidentalmente, lo que puede conllevar a una divulgación de información • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39919.json https://gitlab.com/gitlab-org/gitlab/-/issues/342445 • CWE-640: Weak Password Recovery Mechanism for Forgotten Password •
CVE-2021-39915
https://notcve.org/view.php?id=CVE-2021-39915
Improper access control in the GraphQL API in GitLab CE/EE affecting all versions starting from 13.0 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows an attacker to see the names of project access tokens on arbitrary projects Un control de acceso inapropiado en la API GraphQL en GitLab CE/EE afectando a todas las versiones a partir de 13.0 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un atacante ver los nombres de los tokens de acceso al proyecto en proyectos arbitrarios • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39915.json https://gitlab.com/gitlab-org/gitlab/-/issues/340803 https://hackerone.com/reports/1336059 • CWE-668: Exposure of Resource to Wrong Sphere •
CVE-2021-39933
https://notcve.org/view.php?id=CVE-2021-39933
An issue has been discovered in GitLab CE/EE affecting all versions starting from 12.10 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2. A regular expression used for handling user input (notes, comments, etc) was susceptible to catastrophic backtracking that could cause a DOS attack. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 12.10 anteriores a 14.3.6, a todas las versiones a partir de 14.4 anteriores a 14.4.4, a todas las versiones a partir de 14.5 anteriores a 14.5.2. Una expresión regular usada para el manejo de la entrada del usuario (notas, comentarios, etc) era susceptible de un retroceso catastrófico que podía causar un ataque DOS • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39933.json https://gitlab.com/gitlab-org/gitlab/-/issues/340449 https://hackerone.com/reports/1320077 • CWE-1333: Inefficient Regular Expression Complexity •
CVE-2021-39938
https://notcve.org/view.php?id=CVE-2021-39938
A vulnerable regular expression pattern in GitLab CE/EE since version 8.15 before 14.3.6, all versions starting from 14.4 before 14.4.4, all versions starting from 14.5 before 14.5.2, allows an attacker to cause uncontrolled resource consumption leading to Denial of Service via specially crafted deploy Slash commands Un patrón de expresión regular vulnerable en GitLab CE/EE desde la versión 8.15 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2, permite a un atacante causar un consumo no controlado de recursos que conduzca a una denegación de servicio por medio de comandos deploy Slash especialmente diseñados • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39938.json https://gitlab.com/gitlab-org/gitlab/-/issues/344873 • CWE-400: Uncontrolled Resource Consumption •