CVE-2019-15576
https://notcve.org/view.php?id=CVE-2019-15576
An information disclosure vulnerability exists in GitLab CE/EE <v12.3.2, <v12.2.6, and <v12.1.12 that allowed an attacker to view private system notes from a GraphQL endpoint. Se presenta una vulnerabilidad de divulgación de información en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6, versiones anteriores a v12.1.12, que permitió a un atacante visualizar notas privadas del sistema desde un endpoint GraphQL. • https://hackerone.com/reports/633001 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVE-2019-15577
https://notcve.org/view.php?id=CVE-2019-15577
An information disclosure vulnerability exists in GitLab CE/EE <v12.3.2, <v12.2.6, and <v12.1.12 that allowed project milestones to be disclosed via groups browsing. Se presenta una vulnerabilidad de divulgación de información en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6, versiones anteriores a v12.1.12, que permitió que se revelaran los hitos del proyecto por medio de la exploración de grupos. • https://hackerone.com/reports/636560 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVE-2019-5469
https://notcve.org/view.php?id=CVE-2019-5469
An IDOR vulnerability exists in GitLab <v12.1.2, <v12.0.4, and <v11.11.6 that allowed uploading files from project archive to replace other users files potentially allowing an attacker to replace project binaries or other uploaded assets. Se presenta una vulnerabilidad IDOR en GitLab versiones anteriores a v12.1.2, versiones anteriores a v12.0.4 y versiones anteriores a v11.11.6, que permitió cargar archivos desde el archivo del proyecto para reemplazar los archivos de otros usuarios, lo que permite potencialmente a un atacante reemplazar los binarios del proyecto u otros activos cargados. • https://gitlab.com/gitlab-org/gitlab-ce/issues/60551 https://hackerone.com/reports/534794 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2019-15580
https://notcve.org/view.php?id=CVE-2019-15580
An information exposure vulnerability exists in gitlab.com <v12.3.2, <v12.2.6, and <v12.1.10 when using the blocking merge request feature, it was possible for an unauthenticated user to see the head pipeline data of a public project even though pipeline visibility was restricted. Se presenta una vulnerabilidad de exposición de información en gitlab.com versiones anteriores a v12.3.2, versiones anteriores a v12.2.6 y versiones anteriores a v12.1.10, cuando se utiliza el bloqueo de la funcionalidad de petición de fusion, era posible que un usuario no autenticado visualizara los datos de la tubería principal de un proyecto público inclusive aunque la visibilidad de la tubería estaba restringida. • https://hackerone.com/reports/667408 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-201: Insertion of Sensitive Information Into Sent Data •
CVE-2019-5486
https://notcve.org/view.php?id=CVE-2019-5486
A authentication bypass vulnerability exists in GitLab CE/EE <v12.3.2, <v12.2.6, and <v12.1.10 in the Salesforce login integration that could be used by an attacker to create an account that bypassed domain restrictions and email verification requirements. Se presenta una vulnerabilidad de omisión de autenticación en GitLab CE/EE versiones anteriores a v12.3.2, versiones anteriores a v12.2.6 y versiones anteriores a v12.1.10, en la integración de inicio de sesión de Salesforce lo que podría ser utilizado por un atacante para crear una cuenta que omitiera las restricciones de dominio y los requisitos de comprobación de correo electrónico. • https://hackerone.com/reports/617896 • CWE-287: Improper Authentication CWE-288: Authentication Bypass Using an Alternate Path or Channel •