CVSS: 9.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13347
https://notcve.org/view.php?id=CVE-2020-13347
07 Oct 2020 — A command injection vulnerability was discovered in Gitlab runner versions prior to 13.2.4, 13.3.2 and 13.4.1. When the runner is configured on a Windows system with a docker executor, which allows the attacker to run arbitrary commands on Windows host, via DOCKER_AUTH_CONFIG build variable. Se detectó una vulnerabilidad de inyección de comandos en el ejecutor de Gitlab versiones anteriores a 13.2.4, 13.3.2 y 13.4.1. Cuando el ejecutor está configurado en un sistema Windows con un ejecutor docker, perm... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13347.json • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13335
https://notcve.org/view.php?id=CVE-2020-13335
07 Oct 2020 — Improper group membership validation when deleting a user account in GitLab >=7.12 allows a user to delete own account without deleting/transferring their group. Una comprobación inapropiada de la membresía de un grupo al eliminar una cuenta de usuario en GitLab versiones posteriores e incluyendo a 7.12, permite a un usuario eliminar su propia cuenta sin eliminar y transferir su grupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13335.json • CWE-863: Incorrect Authorization •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 1CVE-2020-13333
https://notcve.org/view.php?id=CVE-2020-13333
06 Oct 2020 — A potential DOS vulnerability was discovered in GitLab versions 13.1, 13.2 and 13.3. The api to update an asset as a link from a release had a regex check which caused exponential number of backtracks for certain user supplied values resulting in high CPU usage. Se detectó una potencial vulnerabilidad de DOS en GitLab versiones 13.1, 13.2 y 13.3. La API para actualizar un activo como un enlace desde una versión que tenía una comprobación de expresiones regulares que causó un número exponencial de retro... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13333.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 1CVE-2020-13345
https://notcve.org/view.php?id=CVE-2020-13345
06 Oct 2020 — An issue has been discovered in GitLab affecting all versions starting from 10.8. Reflected XSS on Multiple Routes Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 10.8. Un vulnerabilidad de tipo XSS reflejado en Múltiples Rutas • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13345.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 1%CPEs: 2EXPL: 1CVE-2020-13343
https://notcve.org/view.php?id=CVE-2020-13343
06 Oct 2020 — An issue has been discovered in GitLab affecting all versions starting from 11.2. Unauthorized Users Can View Custom Project Template Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 11.2. Los Usuarios No Autorizados pueden Visualizar la Plantilla de Proyecto Personalizada • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13343.json • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 6.0EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13307
https://notcve.org/view.php?id=CVE-2020-13307
15 Sep 2020 — A vulnerability was discovered in GitLab versions before 13.1.10, 13.2.8 and 13.3.4. GitLab was not revoking current user sessions when 2 factor authentication was activated allowing a malicious user to maintain their access. Se detectó una vulnerabilidad en GitLab versiones anteriores a 13.1.10, 13.2.8 y 13.3.4. GitLab no revocaba las sesiones de los usuarios actuales cuando se activaba la autenticación de 2 factores, permitiendo a un usuario malicioso mantener su acceso • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13307.json • CWE-613: Insufficient Session Expiration •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13308
https://notcve.org/view.php?id=CVE-2020-13308
15 Sep 2020 — A vulnerability was discovered in GitLab versions before 13.1.10, 13.2.8 and 13.3.4. A user without 2 factor authentication enabled could be prohibited from accessing GitLab by being invited into a project that had 2 factor authentication inheritance. Se detectó una vulnerabilidad en GitLab versiones anteriores a 13.1.10, 13.2.8 y 13.3.4. A un usuario sin la autenticación de 2 factores habilitada se le podría prohibir el acceso a GitLab al ser invitado a un proyecto que tenía una herencia de autenticac... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13308.json • CWE-281: Improper Preservation of Permissions •
CVSS: 7.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13303
https://notcve.org/view.php?id=CVE-2020-13303
15 Sep 2020 — A vulnerability was discovered in GitLab versions before 13.1.10, 13.2.8 and 13.3.4. Due to improper verification of permissions, an unauthorized user can access a private repository within a public project. Se detectó una vulnerabilidad en GitLab versiones anteriores a 13.1.10, 13.2.8 y 13.3.4. Debido a una comprobación inapropiada de los permisos, un usuario no autorizado puede acceder a un repositorio privado dentro de un proyecto público • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13303.json • CWE-287: Improper Authentication •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2020-13298
https://notcve.org/view.php?id=CVE-2020-13298
14 Sep 2020 — A vulnerability was discovered in GitLab versions before 13.1.10, 13.2.8 and 13.3.4. Conan package upload functionality was not properly validating the supplied parameters, which resulted in the limited files disclosure. Se detectó una vulnerabilidad en GitLab versiones anteriores a 13.1.10, 13.2.8 y 13.3.4. La funcionalidad de carga de paquetes Conan no validaba correctamente los parámetros suministrados, resultando en la divulgación limitada de archivos • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13298.json •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2020-13305
https://notcve.org/view.php?id=CVE-2020-13305
14 Sep 2020 — A vulnerability was discovered in GitLab versions before 13.1.10, 13.2.8 and 13.3.4. GitLab was not invalidating project invitation link upon removing a user from a project. Se detectó una vulnerabilidad en GitLab versiones anteriores a 13.1.10, 13.2.8 y 13.3.4. GitLab no invalidaba el enlace de invitación al proyecto al eliminar a un usuario de un proyecto • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13305.json • CWE-613: Insufficient Session Expiration •