CVSS: 5.7EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13344
https://notcve.org/view.php?id=CVE-2020-13344
An issue has been discovered in GitLab affecting all versions prior to 13.2.10, 13.3.7 and 13.4.2. Sessions keys are stored in plain-text in Redis which allows attacker with Redis access to authenticate as any user that has a session stored in Redis Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2. Las claves de las sesiones son almacenadas en texto plano en Redis, lo que permite al atacante con acceso a Redis autenticarse como cualquier usuario que tenga una sesión almacenada en Redis • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13344.json https://gitlab.com/gitlab-org/gitlab/-/issues/17817 • CWE-522: Insufficiently Protected Credentials •
CVSS: 4.0EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13342
https://notcve.org/view.php?id=CVE-2020-13342
An issue has been discovered in GitLab affecting versions prior to 13.2.10, 13.3.7 and 13.4.2: Lack of Rate Limiting at Re-Sending Confirmation Email Se ha detectado un problema en GitLab que afecta a las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2: Una Falta de Límitación de Velocidad en el Reenvío del Email de Confirmación • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13342.json https://gitlab.com/gitlab-org/gitlab/-/issues/222966 • CWE-770: Allocation of Resources Without Limits or Throttling •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13346
https://notcve.org/view.php?id=CVE-2020-13346
Membership changes are not reflected in ToDo subscriptions in GitLab versions prior to 13.2.10, 13.3.7 and 13.4.2, allowing guest users to access confidential issues through API. Unos cambios de membresía no están reflejados en las suscripciones ToDo en GitLab versiones anteriores a 13.2.10, 13.3.7 y 13.4.2, permitiendo a usuarios invitados acceder a problemas confidenciales por medio de la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13346.json https://gitlab.com/gitlab-org/gitlab/-/issues/219496 https://hackerone.com/reports/880863 • CWE-459: Incomplete Cleanup •
CVSS: 7.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13334
https://notcve.org/view.php?id=CVE-2020-13334
In GitLab versions prior to 13.2.10, 13.3.7 and 13.4.2, improper authorization checks allow a non-member of a project/group to change the confidentiality attribute of issue via mutation GraphQL query En GitLab versiones anteriores a 13.2.10, 13.3.7 y 13.4.2, unas comprobaciones inapropiadas de autorización permiten a un no miembro de un proyecto y de un grupo cambiar el atributo de confidencialidad del problema por medio de una consulta GraphQL de mutación • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13334.json https://gitlab.com/gitlab-org/gitlab/-/issues/195327 https://hackerone.com/reports/762271 • CWE-863: Incorrect Authorization •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13335
https://notcve.org/view.php?id=CVE-2020-13335
Improper group membership validation when deleting a user account in GitLab >=7.12 allows a user to delete own account without deleting/transferring their group. Una comprobación inapropiada de la membresía de un grupo al eliminar una cuenta de usuario en GitLab versiones posteriores e incluyendo a 7.12, permite a un usuario eliminar su propia cuenta sin eliminar y transferir su grupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13335.json https://gitlab.com/gitlab-org/gitlab/-/issues/27231 https://hackerone.com/reports/503823 • CWE-863: Incorrect Authorization •