CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 1CVE-2021-39888
https://notcve.org/view.php?id=CVE-2021-39888
In all versions of GitLab EE starting from 13.10 before 14.1.7, all versions starting from 14.2 before 14.2.5, and all versions starting from 14.3 before 14.3.1 a specific API endpoint may reveal details about a private group and other sensitive info inside issue and merge request templates. En todas las versiones de GitLab EE a partir de la 13.10 antes de la 14.1.7, en todas las versiones a partir de la 14.2 antes de la 14.2.5, y en todas las versiones a partir de la 14.3 antes de la 14.3.1, un punto final específico de la API puede revelar detalles sobre un grupo privado y otra información sensible dentro de las plantillas de incidencias y solicitudes de fusión • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39888.json https://gitlab.com/gitlab-org/gitlab/-/issues/336446 https://hackerone.com/reports/1255128 •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39893
https://notcve.org/view.php?id=CVE-2021-39893
A potential DOS vulnerability was discovered in GitLab starting with version 9.1 that allowed parsing files without authorisation. En GitLab, a partir de la versión 9.1, se ha detectado una potencial vulnerabilidad de DOS que permitía analizar archivos sin autorización • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39893.json https://gitlab.com/gitlab-org/gitlab/-/issues/340076 • CWE-862: Missing Authorization •
CVSS: 5.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39878
https://notcve.org/view.php?id=CVE-2021-39878
A stored Reflected Cross-Site Scripting vulnerability in the Jira integration in GitLab version 13.0 up to 14.3.1 allowed an attacker to execute arbitrary javascript code. Una vulnerabilidad de tipo Cross-Site Scripting reflejado almacenado en la integración de Jira en GitLab versión 13.0 hasta 14.3.1, permitía a un atacante ejecutar código javascript arbitrario • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39878.json https://gitlab.com/gitlab-org/gitlab/-/issues/334043 https://hackerone.com/reports/1194254 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39887
https://notcve.org/view.php?id=CVE-2021-39887
A stored Cross-Site Scripting vulnerability in the GitLab Flavored Markdown in GitLab CE/EE version 8.4 and above allowed an attacker to execute arbitrary JavaScript code on the victim's behalf. Una vulnerabilidad de tipo Cross-Site Scripting almacenado en el GitLab Flavored Markdown en GitLab CE/EE versión 8.4 y superior, permitía a un atacante ejecutar código JavaScript arbitrario en nombre de la víctima • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39887.json https://gitlab.com/gitlab-org/gitlab/-/issues/332903 https://hackerone.com/reports/1218174 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-39868
https://notcve.org/view.php?id=CVE-2021-39868
In all versions of GitLab CE/EE since version 8.12, an authenticated low-privileged malicious user may create a project with unlimited repository size by modifying values in a project export. En todas las versiones de GitLab CE/EE desde la versión 8.12, un usuario malicioso autenticado con pocos privilegios puede crear un proyecto con un tamaño de repositorio ilimitado modificando los valores de una exportación de proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39868.json https://gitlab.com/gitlab-org/gitlab/-/issues/24649 https://hackerone.com/reports/420258 • CWE-732: Incorrect Permission Assignment for Critical Resource •