Page 91 of 1007 results (0.009 seconds)

CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0

Permissions rules were not applied while issues were moved between projects of the same group in GitLab versions starting with 10.6 and up to 14.1.7 allowing users to read confidential Epic references. Las reglas de permisos no se aplicaban mientras las incidencias se movían entre proyectos del mismo grupo en las versiones de GitLab a partir de la 10.6 y hasta la 14.1.7, permitiendo a usuarios leer referencias Ëpicas confidenciales • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39886.json https://gitlab.com/gitlab-org/gitlab/-/issues/330520 • CWE-276: Incorrect Default Permissions •

CVSS: 5.9EPSS: 0%CPEs: 6EXPL: 0

In all versions of GitLab CE/EE since version 8.0, access tokens created as part of admin's impersonation of a user are not cleared at the end of impersonation which may lead to unnecessary sensitive info disclosure. En todas las versiones de GitLab CE/EE desde la versión 8.0, los tokens de acceso creados como parte de la suplantación de un usuario por parte del administrador no se borran al final de la suplantación, lo que puede conllevar a una divulgación innecesaria de información confidencial • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39891.json https://gitlab.com/gitlab-org/gitlab/-/issues/335137 • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •

CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0

A business logic error in the project deletion process in GitLab 13.6 and later allows persistent access via project access tokens. Un error de lógica de negocio en el proceso de eliminación de proyectos en GitLab versiones 13.6 y posteriores, permite el acceso persistente por medio de tokens de acceso al proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39866.json https://gitlab.com/gitlab-org/gitlab/-/issues/333175 https://hackerone.com/reports/1199561 •

CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0

In all versions of GitLab CE/EE since version 14.1, an improper access control vulnerability allows users with expired password to still access GitLab through git and API through access tokens acquired before password expiration. En todas las versiones de GitLab CE/EE desde la versión 14.1, una vulnerabilidad de control de acceso inapropiada permite a usuarios con la contraseña caducada seguir accediendo a GitLab mediante git y de la API mediante tokens de acceso adquiridos antes de la caducidad de la contraseña • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39872.json https://gitlab.com/gitlab-org/gitlab/-/issues/337954 https://hackerone.com/reports/1285226 • CWE-287: Improper Authentication •

CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0

In all versions of GitLab CE/EE since version 8.0, a DNS rebinding vulnerability exists in Fogbugz importer which may be used by attackers to exploit Server Side Request Forgery attacks. En todas las versiones de GitLab CE/EE desde la versión 8.0, se presenta una vulnerabilidad de reenganche de DNS en el importador Fogbugz que puede ser usada por atacantes para explotar ataques de tipo Server Side Request Forgery • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39894.json https://gitlab.com/gitlab-org/gitlab/-/issues/214399 • CWE-918: Server-Side Request Forgery (SSRF) •