Vulnerabilidad en la API de CI Lint en GitLab CE/EE (CVE-2021-39935)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
13/12/2021
Última modificación:
04/02/2026
Descripción
Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones a partir de 10.5 anteriores a 14.3.6, todas las versiones a partir de 14.4 anteriores a 14.4.4, todas las versiones a partir de 14.5 anteriores a 14.5.2. Los usuarios externos no autorizados podían llevar a cabo ataques de tipo Server Side Requests por medio de la API de CI Lint
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 10.5.0 (incluyendo) | 14.3.6 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 10.5.0 (incluyendo) | 14.3.6 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 14.4.0 (incluyendo) | 14.4.4 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 14.4.0 (incluyendo) | 14.4.4 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 14.5.0 (incluyendo) | 14.5.2 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 14.5.0 (incluyendo) | 14.5.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39935.json
- https://gitlab.com/gitlab-org/gitlab/-/issues/346187
- https://hackerone.com/reports/1236965
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-39935.json
- https://gitlab.com/gitlab-org/gitlab/-/issues/346187
- https://hackerone.com/reports/1236965
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-39935