CVE-2020-13348
https://notcve.org/view.php?id=CVE-2020-13348
An issue has been discovered in GitLab EE affecting all versions starting from 10.2. Required CODEOWNERS approval could be bypassed by targeting a branch without the CODEOWNERS file. Affected versions are >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Ha sido detectado un problema en GitLab EE que afecta a todas las versiones desde 10.2. La aprobación de CODEOWNERS requerida podría omitirse al apuntar a una sucursal sin el archivo CODEOWNERS. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13348.json https://gitlab.com/gitlab-org/gitlab/-/issues/246928 •
CVE-2020-13350
https://notcve.org/view.php?id=CVE-2020-13350
CSRF in runner administration page in all versions of GitLab CE/EE allows an attacker who's able to target GitLab instance administrators to pause/resume runners. Affected versions are >=13.5.0, <13.5.2,>=13.4.0, <13.4.5,<13.3.9. Un CSRF en la página de administración del ejecutor en todas las versiones de GitLab CE/EE, permite a un atacante que pueda apuntar a administradores de instancias de GitLab pausar y reanudar los ejecutores. Las versiones afectadas son las versiones posteriores a 13.5.0 e incluyéndola, versiones anteriores a 13.5.2, versiones posteriores a 13.4.0 e incluyéndola, versiones anteriores a 13.4.5, versiones anteriores a 13.3.9 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13350.json https://gitlab.com/gitlab-org/gitlab/-/issues/24416 https://hackerone.com/reports/415238 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2020-13352
https://notcve.org/view.php?id=CVE-2020-13352
Private group info is leaked leaked in GitLab CE/EE version 10.2 and above, when the project is moved from private to public group. Affected versions are: >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una información de grupo privado es filtrada en GitLab CE/EE versiones 10.2 y por debajo, cuando el proyecto se mueve de un grupo privado a público. Las versiones afectadas son: versiones posteriores a 10.2 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.5 e incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13352.json https://gitlab.com/gitlab-org/gitlab/-/issues/38281 https://hackerone.com/reports/748315 •
CVE-2020-13339
https://notcve.org/view.php?id=CVE-2020-13339
An issue has been discovered in GitLab affecting all versions before 13.2.10, 13.3.7 and 13.4.2: XSS in SVG File Preview. Overall impact is limited due to the current user only being impacted. Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2: Una vulnerabilidad de tipo XSS en SVG File Preview. El impacto general es limitado debido a que solo el usuario actual esta siendo impactado • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13339.json https://gitlab.com/gitlab-org/gitlab/-/issues/118477 https://hackerone.com/reports/758653 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-13340
https://notcve.org/view.php?id=CVE-2020-13340
An issue has been discovered in GitLab affecting all versions prior to 13.2.10, 13.3.7 and 13.4.2: Stored XSS in CI Job Log Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2: Una vulnerabilidad de tipo XSS almacenado en CI Job Log • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13340.json https://gitlab.com/gitlab-org/gitlab/-/issues/233473 https://hackerone.com/reports/950190 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •