CVE-2021-22223
https://notcve.org/view.php?id=CVE-2021-22223
Client-Side code injection through Feature Flag name in GitLab CE/EE starting with 11.9 allows a specially crafted feature flag name to PUT requests on behalf of other users via clicking on a link Una inyección de código del lado del cliente mediante la funcionalidad Flag name en GitLab CE/EE a partir de la versión 11.9 permite que una funcionalidad Flag name especialmente diseñada realice peticiones PUT en nombre de otros usuarios por medio de un click a un enlace • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22223.json https://gitlab.com/gitlab-org/gitlab/-/issues/293946 https://hackerone.com/reports/1059557 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-22228
https://notcve.org/view.php?id=CVE-2021-22228
An issue has been discovered in GitLab affecting all versions before 13.11.6, all versions starting from 13.12 before 13.12.6, and all versions starting from 14.0 before 14.0.2. Improper access control allows unauthorised users to access project details using Graphql. Se ha descubierto un problema en GitLab que afecta a todas las versiones anteriores a la 13.11.6, a todas las versiones a partir de la 13.12 antes de la 13.12.6 y a todas las versiones a partir de la 14.0 antes de la 14.0.2. Un control de acceso inadecuado permite a usuarios no autorizados acceder a los detalles del proyecto utilizando Graphql • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22228.json https://gitlab.com/gitlab-org/gitlab/-/issues/332605 https://hackerone.com/reports/1192460 •
CVE-2021-22226
https://notcve.org/view.php?id=CVE-2021-22226
Under certain conditions, some users were able to push to protected branches that were restricted to deploy keys in GitLab CE/EE since version 13.9 Bajo determinadas condiciones, algunos usuarios eran capaces de empujar a ramas protegidas que estaban restringidas a claves de despliegue en GitLab CE/EE desde la versión 13.9 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22226.json https://gitlab.com/gitlab-org/gitlab/-/issues/326684 •
CVE-2021-22232
https://notcve.org/view.php?id=CVE-2021-22232
HTML injection was possible via the full name field before versions 13.11.6, 13.12.6, and 14.0.2 in GitLab CE Una inyección de HTML era posible por medio del campo full name en versiones anteriores a 13.11.6, 13.12.6 y 14.0.2 en GitLab CE • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22232.json https://gitlab.com/gitlab-org/gitlab/-/issues/300713 https://hackerone.com/reports/1090634 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVE-2021-22229
https://notcve.org/view.php?id=CVE-2021-22229
An issue has been discovered in GitLab CE/EE affecting all versions starting with 12.8. Under a special condition it was possible to access data of an internal repository through project fork done by a project member. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de la versión 12.8. Bajo una condición especial era posible acceder a los datos de un repositorio interno por medio del fork del proyecto realizado por un miembro del proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22229.json https://gitlab.com/gitlab-org/gitlab/-/issues/332609 •