CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 1CVE-2019-15575
https://notcve.org/view.php?id=CVE-2019-15575
A command injection exists in GitLab CE/EE <v12.3.2, <v12.2.6, and <v12.1.12 that allowed an attacker to inject commands via the API through the blobs scope. Se presenta una inyección de comando en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6, versiones anteriores a v12.1.12, que permitió a un atacante inyectar comandos mediante la API por medio del ámbito blobs. • https://hackerone.com/reports/682442 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 1CVE-2019-15576
https://notcve.org/view.php?id=CVE-2019-15576
An information disclosure vulnerability exists in GitLab CE/EE <v12.3.2, <v12.2.6, and <v12.1.12 that allowed an attacker to view private system notes from a GraphQL endpoint. Se presenta una vulnerabilidad de divulgación de información en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6, versiones anteriores a v12.1.12, que permitió a un atacante visualizar notas privadas del sistema desde un endpoint GraphQL. • https://hackerone.com/reports/633001 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 1CVE-2019-15577
https://notcve.org/view.php?id=CVE-2019-15577
An information disclosure vulnerability exists in GitLab CE/EE <v12.3.2, <v12.2.6, and <v12.1.12 that allowed project milestones to be disclosed via groups browsing. Se presenta una vulnerabilidad de divulgación de información en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6, versiones anteriores a v12.1.12, que permitió que se revelaran los hitos del proyecto por medio de la exploración de grupos. • https://hackerone.com/reports/636560 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 2CVE-2019-5469
https://notcve.org/view.php?id=CVE-2019-5469
An IDOR vulnerability exists in GitLab <v12.1.2, <v12.0.4, and <v11.11.6 that allowed uploading files from project archive to replace other users files potentially allowing an attacker to replace project binaries or other uploaded assets. Se presenta una vulnerabilidad IDOR en GitLab versiones anteriores a v12.1.2, versiones anteriores a v12.0.4 y versiones anteriores a v11.11.6, que permitió cargar archivos desde el archivo del proyecto para reemplazar los archivos de otros usuarios, lo que permite potencialmente a un atacante reemplazar los binarios del proyecto u otros activos cargados. • https://gitlab.com/gitlab-org/gitlab-ce/issues/60551 https://hackerone.com/reports/534794 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 1CVE-2019-15580
https://notcve.org/view.php?id=CVE-2019-15580
An information exposure vulnerability exists in gitlab.com <v12.3.2, <v12.2.6, and <v12.1.10 when using the blocking merge request feature, it was possible for an unauthenticated user to see the head pipeline data of a public project even though pipeline visibility was restricted. Se presenta una vulnerabilidad de exposición de información en gitlab.com versiones anteriores a v12.3.2, versiones anteriores a v12.2.6 y versiones anteriores a v12.1.10, cuando se utiliza el bloqueo de la funcionalidad de petición de fusion, era posible que un usuario no autenticado visualizara los datos de la tubería principal de un proyecto público inclusive aunque la visibilidad de la tubería estaba restringida. • https://hackerone.com/reports/667408 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-201: Insertion of Sensitive Information Into Sent Data •