CVE-2020-26411
https://notcve.org/view.php?id=CVE-2020-26411
A potential DOS vulnerability was discovered in all versions of Gitlab starting from 13.4.x (>=13.4 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2). Using a specific query name for a project search can cause statement timeouts that can lead to a potential DOS if abused. Se detectó una posible vulnerabilidad de DOS en todas las versiones de Gitlab desde 13.4.x (versiones anteriores 13.4 e incluyéndola a versiones posteriores 13.4.7, versiones anteriores a 13.5 incluyéndola a versiones posteriores a 13.5.5 y versiones anteriores a 13.6 incluyéndola a versiones posteriores a 13.6.2). Usando un nombre de consulta específico para la búsqueda de un proyecto puede causar tiempos de espera de sentencia que pueden conllevar a un DOS potencial si es abusado • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26411.json https://gitlab.com/gitlab-org/gitlab/-/issues/260330 • CWE-404: Improper Resource Shutdown or Release •
CVE-2020-26408
https://notcve.org/view.php?id=CVE-2020-26408
A limited information disclosure vulnerability exists in Gitlab CE/EE from >= 12.2 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2 that allows an attacker to view limited information in user's private profile Se presenta una vulnerabilidad de divulgación de información limitada en Gitlab CE/EE desde versiones posteriores a 12.2 incluyéndola hasta versiones anteriores a 13.4.7 incluyéndola, versiones posteriores a 13.5 incluyéndola hasta versiones anteriores a 13.5.5 y versiones posteriores a 13.6 incluyéndola hasta versiones anteriores a 13.6.2, que permite a un atacante visualizar información limitada en un usuario de perfil privado • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26408.json https://gitlab.com/gitlab-org/gitlab/-/issues/33563 https://hackerone.com/reports/703894 • CWE-862: Missing Authorization •
CVE-2020-13357
https://notcve.org/view.php?id=CVE-2020-13357
An issue was discovered in Gitlab CE/EE versions >= 13.1 to <13.4.7, >= 13.5 to <13.5.5, and >= 13.6 to <13.6.2 allowed an unauthorized user to access the user list corresponding to a feature flag in a project. Se detectó un problema en Gitlab CE/EE versiones posteriores a 13.1 incluyéndola hasta versiones anteriores a 13.4.7, versiones posteriores a 13.5 incluyéndola hasta versiones anteriores a 13.5.5 y versiones posteriores 13.6 incluyéndola hasta versiones anteriores a 13.6.2, permitieron a un usuario no autorizado acceder a la lista de usuarios correspondiente a un flag feature en un proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13357.json https://gitlab.com/gitlab-org/gitlab/-/issues/241132 https://hackerone.com/reports/962408 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2020-26412
https://notcve.org/view.php?id=CVE-2020-26412
Removed group members were able to use the To-Do functionality to retrieve updated information on confidential epics starting in GitLab EE 13.2 before 13.6.2. Los miembros del grupo eliminados fueron capaces de usar la funcionalidad To-Do para recuperar información actualizada sobre epics confidenciales a partir de GitLab EE versiones 13.2 anteriores a 13.6.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26412.json https://gitlab.com/gitlab-org/gitlab/-/issues/228670 •
CVE-2020-26413
https://notcve.org/view.php?id=CVE-2020-26413
An issue has been discovered in GitLab CE/EE affecting all versions starting from 13.4 before 13.6.2. Information disclosure via GraphQL results in user email being unexpectedly visible. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones desde la 13.4 anteriores a 13.6.2. Una divulgación de información por medio de GraphQL resulta en que el correo electrónico del usuario sea visible inesperadamente • https://github.com/Kento-Sec/GitLab-Graphql-CVE-2020-26413 https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26413.json https://gitlab.com/gitlab-org/gitlab/-/issues/244275 https://hackerone.com/reports/972355 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •