CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39901
https://notcve.org/view.php?id=CVE-2021-39901
In all versions of GitLab CE/EE since version 11.10, an admin of a group can see the SCIM token of that group by visiting a specific endpoint. En todas las versiones de GitLab CE/EE desde versión 11.10, un administrador de un grupo puede visualizar el token SCIM de ese grupo visitando un endpoint específico • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39901.json https://gitlab.com/gitlab-org/gitlab/-/issues/11640 https://hackerone.com/reports/565884 •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39913
https://notcve.org/view.php?id=CVE-2021-39913
Accidental logging of system root password in the migration log in all versions of GitLab CE/EE before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows an attacker with local file system access to obtain system root-level privileges El registro accidental de la contraseña de root del sistema en el registro de migración en todas las versiones de GitLab CE/EE anteriores a la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante con acceso al sistema de archivos local obtener privilegios a nivel de root del sistema • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39913.json https://gitlab.com/gitlab-org/gitlab/-/issues/28074 • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39897
https://notcve.org/view.php?id=CVE-2021-39897
Improper access control in GitLab CE/EE version 10.5 and above allowed subgroup members with inherited access to a project from a parent group to still have access even after the subgroup is transferred Un control de acceso inapropiado en GitLab CE/EE versión 10.5 y superiores, permitía que miembros de un subgrupo con acceso heredado a un proyecto de un grupo padre siguieran teniendo acceso incluso después de que se transfiriera el subgrupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39897.json https://gitlab.com/gitlab-org/gitlab/-/issues/341017 https://hackerone.com/reports/1330806 • CWE-281: Improper Preservation of Permissions •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39912
https://notcve.org/view.php?id=CVE-2021-39912
A potential DoS vulnerability was discovered in GitLab CE/EE starting with version 13.7. Using a malformed TIFF images was possible to trigger memory exhaustion. Se ha detectado una potencial vulnerabilidad DoS en GitLab CE/EE a partir de la versión 13.7. Usando imágenes TIFF mal formadas era posible desencadenar el agotamiento de la memoria • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39912.json https://gitlab.com/gitlab-org/gitlab/-/issues/341363 https://hackerone.com/reports/1330882 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 8.7EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39906
https://notcve.org/view.php?id=CVE-2021-39906
Improper validation of ipynb files in GitLab CE/EE version 13.5 and above allows an attacker to execute arbitrary JavaScript code on the victim's behalf. Una comprobación inapropiada de los archivos ipynb en GitLab CE/EE versión 13.5 y superiores, permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39906.json https://gitlab.com/gitlab-org/gitlab/-/issues/341566 https://hackerone.com/reports/1347600 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •