CVSS: 7.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22171
https://notcve.org/view.php?id=CVE-2021-22171
15 Jan 2021 — Insufficient validation of authentication parameters in GitLab Pages for GitLab 11.5+ allows an attacker to steal a victim's API token if they click on a maliciously crafted link Una comprobación insuficiente de los parámetros de autenticación en GitLab Pages para GitLab versiones 11.5+, permite a un atacante robar el token de la API de una víctima si hace clic en un enlace diseñado con fines maliciosos • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22171.json • CWE-287: Improper Authentication •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22168
https://notcve.org/view.php?id=CVE-2021-22168
15 Jan 2021 — A regular expression denial of service issue has been discovered in NuGet API affecting all versions of GitLab starting from version 12.8. Se ha detectado un problema de denegación de servicio de una expresión regular en la API de NuGet afectando a todas las versiones de GitLab desde la versión 12.8 • https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22168.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26408
https://notcve.org/view.php?id=CVE-2020-26408
11 Dec 2020 — A limited information disclosure vulnerability exists in Gitlab CE/EE from >= 12.2 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2 that allows an attacker to view limited information in user's private profile Se presenta una vulnerabilidad de divulgación de información limitada en Gitlab CE/EE desde versiones posteriores a 12.2 incluyéndola hasta versiones anteriores a 13.4.7 incluyéndola, versiones posteriores a 13.5 incluyéndola hasta versiones anteriores a 13.5.5 y versiones posteriores a 13.6 inclu... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26408.json • CWE-862: Missing Authorization •
CVSS: 4.4EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26416
https://notcve.org/view.php?id=CVE-2020-26416
11 Dec 2020 — Information disclosure in Advanced Search component of GitLab EE starting from 8.4 results in exposure of search terms via Rails logs. This affects versions >=8.4 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2. Una divulgación de información en el componente Advanced Search de GitLab EE a partir de la versión 8.4, resulta en la exposición de los términos de búsqueda por medio de los registros Rails. Esto afecta a las versiones posteriores a 8.4 incluyéndola hasta versiones anteriores a 13.4.7, ve... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26416.json • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26415
https://notcve.org/view.php?id=CVE-2020-26415
11 Dec 2020 — Information about the starred projects for private user profiles was exposed via the GraphQL API starting from 12.2 via the REST API. This affects GitLab >=12.2 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2. La información sobre los proyectos destacados para perfiles de usuarios privados fue expuesta por medio de la API GraphQL a partir de la versión 12.2, por medio de la API REST. Esto afecta a GitLab versiones posteriores a 12.2 incluyéndola hasta versiones anteriores a 13.4.7, versiones poste... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26415.json • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26409
https://notcve.org/view.php?id=CVE-2020-26409
11 Dec 2020 — A DOS vulnerability exists in Gitlab CE/EE >=10.3, <13.4.7,>=13.5, <13.5.5,>=13.6, <13.6.2 that allows an attacker to trigger uncontrolled resource by bypassing input validation in markdown fields. Se presenta una vulnerabilidad de DOS en Gitlab CE/EE versiones posteriores a 10.3 incluyéndola, versiones anteriores a 13.4.7, versiones posteriores a 13.5 incluyéndola, versiones anteriores a 13.5.5, versiones posteriores a 13.6 incluyéndola, versiones anteriores 13.6.2, que permite a un atacante activar un rec... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26409.json • CWE-20: Improper Input Validation CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26407
https://notcve.org/view.php?id=CVE-2020-26407
10 Dec 2020 — A XSS vulnerability exists in Gitlab CE/EE from 12.4 before 13.4.7, 13.5 before 13.5.5, and 13.6 before 13.6.2 that allows an attacker to perform cross-site scripting to other users via importing a malicious project Se presenta una vulnerabilidad de tipo XSS en Gitlab CE/EE desde versiones 12.4 anteriores a 13.4.7, versiones 13.5 anteriores a 13.5.5 y versiones 13.6 anteriores a 13.6.2, que permite a un atacante llevar a cabo ataques de tipo cross-site scripting para otros usuarios por medio de la importaci... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26407.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.2EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13356
https://notcve.org/view.php?id=CVE-2020-13356
18 Nov 2020 — An issue has been discovered in GitLab CE/EE affecting all versions starting from 8.8.9. A specially crafted request could bypass Multipart protection and read files in certain specific paths on the server. Affected versions are: >=8.8.9, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 8.8.9. Una petición especialmente diseñada podría omitir una protección Multipart y leer archivos en determinadas rutas específicas en el ... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13356.json •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13355
https://notcve.org/view.php?id=CVE-2020-13355
18 Nov 2020 — An issue has been discovered in GitLab CE/EE affecting all versions starting from 8.14. A path traversal is found in LFS Upload that allows attacker to overwrite certain specific paths on the server. Affected versions are: >=8.14, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 8.14. En LFS Upload se encuentra un salto de ruta que permite a un atacante sobrescribir determinadas rutas específicas en el servidor. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13355.json • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26405
https://notcve.org/view.php?id=CVE-2020-26405
17 Nov 2020 — Path traversal vulnerability in package upload functionality in GitLab CE/EE starting from 12.8 allows an attacker to save packages in arbitrary locations. Affected versions are >=12.8, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una vulnerabilidad de salto de ruta en la funcionalidad package upload en GitLab CE/EE desde la versión 12.8, permite a un atacante guardar paquetes en ubicaciones arbitrarias. Las versiones afectadas son las versiones posteriores a 12.8 e incluyéndola, versiones anteriores a 13.... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26405.json • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •