1. CVE-Search
  2. CVE-2021-39897
ID CVE-2021-39897
Summary Improper access control in GitLab CE/EE version 10.5 and above allowed subgroup members with inherited access to a project from a parent group to still have access even after the subgroup is transferred
References
Vulnerable Configurations
  • cpe:2.3:a:gitlab:gitlab:12.9.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.3:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.3:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.4:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.4:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.5:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.5:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.6:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.6:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.7:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.7:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.9.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.9.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.3:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.3:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.4:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.4:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.5:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.5:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.6:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.6:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.10.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.10.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.0.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.0.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:13.0.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:13.0.0:*:*:*:enterprise:*:*:*
CVSS
Base: 5.0 (as of 08-11-2021 - 16:11)
Impact:
Exploitability:
CWE CWE-281
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:N/A:N
Last major update 08-11-2021 - 16:11
Published 05-11-2021 - 00:15
Last modified 08-11-2021 - 16:11
Back to Top