ID CVE-2021-39883
Summary Improper authorization checks in all versions of GitLab EE starting from 13.11 before 14.1.7, all versions starting from 14.2 before 14.2.5, and all versions starting from 14.3 before 14.3.1 allows subgroup members to see epics from all parent subgroups.
References
Vulnerable Configurations
  • cpe:2.3:a:gitlab:gitlab:13.11.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.11.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.11.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.11.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.11.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.11.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.11.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.11.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.11.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.12.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.12.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.10:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.10:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.11:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.11:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.0.12:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.0.12:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.1.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.1.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.2.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.2.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:14.3.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:14.3.0:*:*:*:enterprise:*:*:*
CVSS
Base: 4.0 (as of 12-05-2022 - 21:15)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:N/A:N
Last major update 12-05-2022 - 21:15
Published 04-10-2021 - 17:15
Last modified 12-05-2022 - 21:15
Back to Top