CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22225
https://notcve.org/view.php?id=CVE-2021-22225
Insufficient input sanitization in markdown in GitLab version 13.11 and up allows an attacker to exploit a stored cross-site scripting vulnerability via a specially-crafted markdown Un saneamiento insuficiente de entrada en markdown en GitLab versión 13.11 y superiores permite a un atacante explotar una vulnerabilidad de tipo cross-site scripting almacenada por medio de un markdown especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22225.json https://gitlab.com/gitlab-org/gitlab/-/issues/331051 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.2EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22230
https://notcve.org/view.php?id=CVE-2021-22230
Improper code rendering while rendering merge requests could be exploited to submit malicious code. This vulnerability affects GitLab CE/EE 9.3 and later through 13.11.6, 13.12.6, and 14.0.2. Una renderización inapropiada del código al renderizar las peticiones de fusión podría ser explotada para enviar código malicioso. Esta vulnerabilidad afecta a GitLab CE/EE versiones 9.3 y posteriores hasta 13.11.6, 13.12.6 y 14.0.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22230.json https://gitlab.com/gitlab-org/gitlab/-/issues/211976 •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-22227
https://notcve.org/view.php?id=CVE-2021-22227
A reflected cross-site script vulnerability in GitLab before versions 13.11.6, 13.12.6 and 14.0.2 allowed an attacker to send a malicious link to a victim and trigger actions on their behalf if they clicked it Una vulnerabilidad de tipo cross-site script reflejada en GitLab versiones anteriores a 13.11.6, 13.12.6 y 14.0.2, permitía a un atacante enviar un enlace malicioso a una víctima y desencadenar acciones en su nombre si hacían clic en él • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22227.json https://gitlab.com/gitlab-org/gitlab/-/issues/212887 https://hackerone.com/reports/834555 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22231
https://notcve.org/view.php?id=CVE-2021-22231
A denial of service in user's profile page is found starting with GitLab CE/EE 8.0 that allows attacker to reject access to their profile page via using a specially crafted username. Se ha detectado una denegación de servicio en la página de perfil del usuario a partir de GitLab CE/EE versión 8.0, que permite a un atacante rechazar el acceso a su página de perfil por medio de un nombre de usuario especialmente diseñado • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22231.json https://gitlab.com/gitlab-org/gitlab/-/issues/26295 https://hackerone.com/reports/475098 •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22223
https://notcve.org/view.php?id=CVE-2021-22223
Client-Side code injection through Feature Flag name in GitLab CE/EE starting with 11.9 allows a specially crafted feature flag name to PUT requests on behalf of other users via clicking on a link Una inyección de código del lado del cliente mediante la funcionalidad Flag name en GitLab CE/EE a partir de la versión 11.9 permite que una funcionalidad Flag name especialmente diseñada realice peticiones PUT en nombre de otros usuarios por medio de un click a un enlace • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22223.json https://gitlab.com/gitlab-org/gitlab/-/issues/293946 https://hackerone.com/reports/1059557 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •