CVE-2021-39895
https://notcve.org/view.php?id=CVE-2021-39895
In all versions of GitLab CE/EE since version 8.0, an attacker can set the pipeline schedules to be active in a project export so when an unsuspecting owner imports that project, pipelines are active by default on that project. Under specialized conditions, this may lead to information disclosure if the project is imported from an untrusted source. En todas las versiones de GitLab CE/EE desde versión 8.0, un atacante puede configurar las programaciones de tuberías para que estén activas en una exportación de proyectos, de modo que cuando un propietario desprevenido importa ese proyecto, las tuberías están activas por defecto en ese proyecto. Bajo condiciones especializadas, esto puede conllevar a una divulgación de información si el proyecto es importado desde una fuente no confiable • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39895.json https://gitlab.com/gitlab-org/gitlab/-/issues/337824 https://hackerone.com/reports/1272535 •
CVE-2021-22260
https://notcve.org/view.php?id=CVE-2021-22260
A stored Cross-Site Scripting vulnerability in the DataDog integration in all versions of GitLab CE/EE starting from 13.7 before 14.0.9, all versions starting from 14.1 before 14.1.4, and all versions starting from 14.2 before 14.2.2 allows an attacker to execute arbitrary JavaScript code on the victim's behalf Una vulnerabilidad de Cross-Site Scripting almacenada en la integración de DataDog en todas las versiones de GitLab CE/EE a partir de la 13.7 antes de la 14.0.9, todas las versiones a partir de la 14.1 antes de la 14.1.4, y todas las versiones a partir de la 14.2 antes de la 14.2.2 permite a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22260.json https://gitlab.com/gitlab-org/gitlab/-/issues/336614 https://hackerone.com/reports/1257383 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-39901
https://notcve.org/view.php?id=CVE-2021-39901
In all versions of GitLab CE/EE since version 11.10, an admin of a group can see the SCIM token of that group by visiting a specific endpoint. En todas las versiones de GitLab CE/EE desde versión 11.10, un administrador de un grupo puede visualizar el token SCIM de ese grupo visitando un endpoint específico • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39901.json https://gitlab.com/gitlab-org/gitlab/-/issues/11640 https://hackerone.com/reports/565884 •
CVE-2021-39913
https://notcve.org/view.php?id=CVE-2021-39913
Accidental logging of system root password in the migration log in all versions of GitLab CE/EE before 14.2.6, all versions starting from 14.3 before 14.3.4, and all versions starting from 14.4 before 14.4.1 allows an attacker with local file system access to obtain system root-level privileges El registro accidental de la contraseña de root del sistema en el registro de migración en todas las versiones de GitLab CE/EE anteriores a la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante con acceso al sistema de archivos local obtener privilegios a nivel de root del sistema • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39913.json https://gitlab.com/gitlab-org/gitlab/-/issues/28074 • CWE-532: Insertion of Sensitive Information into Log File •
CVE-2021-39897
https://notcve.org/view.php?id=CVE-2021-39897
Improper access control in GitLab CE/EE version 10.5 and above allowed subgroup members with inherited access to a project from a parent group to still have access even after the subgroup is transferred Un control de acceso inapropiado en GitLab CE/EE versión 10.5 y superiores, permitía que miembros de un subgrupo con acceso heredado a un proyecto de un grupo padre siguieran teniendo acceso incluso después de que se transfiriera el subgrupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39897.json https://gitlab.com/gitlab-org/gitlab/-/issues/341017 https://hackerone.com/reports/1330806 • CWE-281: Improper Preservation of Permissions •