CVE-2021-22251
https://notcve.org/view.php?id=CVE-2021-22251
Improper validation of invited users' email address in GitLab EE affecting all versions since 12.2 allowed projects to add members with email address domain that should be blocked by group settings Una comprobación inapropiada de la dirección de correo electrónico de los usuarios invitados en GitLab EE, afectando a todas las versiones desde la 12.2, permitía que los proyectos añadieran miembros con un dominio de dirección de correo electrónico que debería estar bloqueado por la configuración del grupo. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22251.json https://gitlab.com/gitlab-org/gitlab/-/issues/14004 https://hackerone.com/reports/679567 • CWE-863: Incorrect Authorization •
CVE-2021-22252
https://notcve.org/view.php?id=CVE-2021-22252
A confusion between tag and branch names in GitLab CE/EE affecting all versions since 13.7 allowed a Developer to access protected CI variables which should only be accessible to Maintainers Una confusión entre los nombres de las etiquetas y ramas en GitLab CE/EE, afectando a todas las versiones desde la 13.7, permitía a un desarrollador acceder a variables de CI protegidas que sólo deberían ser accesibles para los mantenedores. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22252.json https://gitlab.com/gitlab-org/gitlab/-/issues/330364 https://hackerone.com/reports/1186135 •
CVE-2021-22253
https://notcve.org/view.php?id=CVE-2021-22253
Improper authorization in GitLab EE affecting all versions since 13.4 allowed a user who previously had the necessary access to trigger deployments to protected environments under specific conditions after the access has been removed Una autorización inapropiada en GitLab EE que afectaba a todas las versiones desde la 13.4, permitía a un usuario que anteriormente tenía el acceso necesario desencadenar despliegues en entornos protegidos bajo condiciones específicas después de que se hubiera eliminado el acceso • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22253.json https://gitlab.com/gitlab-org/gitlab/-/issues/323794 https://hackerone.com/reports/1113783 • CWE-863: Incorrect Authorization •
CVE-2021-22238
https://notcve.org/view.php?id=CVE-2021-22238
An issue has been discovered in GitLab affecting all versions starting with 13.3. GitLab was vulnerable to a stored XSS by using the design feature in issues. Se ha detectado un problema en GitLab, afectando a todas las versiones a partir de la 13.3. GitLab era vulnerable a un ataque de tipo XSS almacenado al usar la funcionalidad design en los issues. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22238.json https://gitlab.com/gitlab-org/gitlab/-/issues/332420 https://hackerone.com/reports/1212067 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-22246
https://notcve.org/view.php?id=CVE-2021-22246
A vulnerability was discovered in GitLab versions before 14.0.2, 13.12.6, 13.11.6. GitLab Webhook feature could be abused to perform denial of service attacks. Se ha detectado una vulnerabilidad en GitLab versiones anteriores a 14.0.2, 13.12.6 y 13.11.6. La funcionalidad GitLab Webhook podría ser abusada para llevar a cabo ataques de denegación de servicio. • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22246.json https://gitlab.com/gitlab-org/gitlab/-/issues/280633 https://hackerone.com/reports/1029269 • CWE-770: Allocation of Resources Without Limits or Throttling •