CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26408
https://notcve.org/view.php?id=CVE-2020-26408
11 Dec 2020 — A limited information disclosure vulnerability exists in Gitlab CE/EE from >= 12.2 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2 that allows an attacker to view limited information in user's private profile Se presenta una vulnerabilidad de divulgación de información limitada en Gitlab CE/EE desde versiones posteriores a 12.2 incluyéndola hasta versiones anteriores a 13.4.7 incluyéndola, versiones posteriores a 13.5 incluyéndola hasta versiones anteriores a 13.5.5 y versiones posteriores a 13.6 inclu... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26408.json • CWE-862: Missing Authorization •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13357
https://notcve.org/view.php?id=CVE-2020-13357
11 Dec 2020 — An issue was discovered in Gitlab CE/EE versions >= 13.1 to <13.4.7, >= 13.5 to <13.5.5, and >= 13.6 to <13.6.2 allowed an unauthorized user to access the user list corresponding to a feature flag in a project. Se detectó un problema en Gitlab CE/EE versiones posteriores a 13.1 incluyéndola hasta versiones anteriores a 13.4.7, versiones posteriores a 13.5 incluyéndola hasta versiones anteriores a 13.5.5 y versiones posteriores 13.6 incluyéndola hasta versiones anteriores a 13.6.2, permitieron a un usuario n... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13357.json • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-26412
https://notcve.org/view.php?id=CVE-2020-26412
11 Dec 2020 — Removed group members were able to use the To-Do functionality to retrieve updated information on confidential epics starting in GitLab EE 13.2 before 13.6.2. Los miembros del grupo eliminados fueron capaces de usar la funcionalidad To-Do para recuperar información actualizada sobre epics confidenciales a partir de GitLab EE versiones 13.2 anteriores a 13.6.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26412.json •
CVSS: 5.3EPSS: 80%CPEs: 2EXPL: 1CVE-2020-26413
https://notcve.org/view.php?id=CVE-2020-26413
11 Dec 2020 — An issue has been discovered in GitLab CE/EE affecting all versions starting from 13.4 before 13.6.2. Information disclosure via GraphQL results in user email being unexpectedly visible. Se ha detectado un problema en GitLab CE/EE afectando a todas las versiones desde la 13.4 anteriores a 13.6.2. Una divulgación de información por medio de GraphQL resulta en que el correo electrónico del usuario sea visible inesperadamente • https://github.com/Kento-Sec/GitLab-Graphql-CVE-2020-26413 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26417
https://notcve.org/view.php?id=CVE-2020-26417
11 Dec 2020 — Information disclosure via GraphQL in GitLab CE/EE 13.1 and later exposes private group and project membership. This affects versions >=13.6 to <13.6.2, >=13.5 to <13.5.5, and >=13.1 to <13.4.7. Una divulgación de información por medio de GraphQL en GitLab CE/EE versiones 13.1 y posteriores, expone la membresía a grupos privados y proyectos. Esto afecta a las versiones posteriores a 13.6 incluyéndola hasta versiones anteriores a 13.6.2, versiones anteriores a 13.5 incluyéndola hasta versiones anteriore... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26417.json • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.4EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26416
https://notcve.org/view.php?id=CVE-2020-26416
11 Dec 2020 — Information disclosure in Advanced Search component of GitLab EE starting from 8.4 results in exposure of search terms via Rails logs. This affects versions >=8.4 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2. Una divulgación de información en el componente Advanced Search de GitLab EE a partir de la versión 8.4, resulta en la exposición de los términos de búsqueda por medio de los registros Rails. Esto afecta a las versiones posteriores a 8.4 incluyéndola hasta versiones anteriores a 13.4.7, ve... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26416.json • CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26415
https://notcve.org/view.php?id=CVE-2020-26415
11 Dec 2020 — Information about the starred projects for private user profiles was exposed via the GraphQL API starting from 12.2 via the REST API. This affects GitLab >=12.2 to <13.4.7, >=13.5 to <13.5.5, and >=13.6 to <13.6.2. La información sobre los proyectos destacados para perfiles de usuarios privados fue expuesta por medio de la API GraphQL a partir de la versión 12.2, por medio de la API REST. Esto afecta a GitLab versiones posteriores a 12.2 incluyéndola hasta versiones anteriores a 13.4.7, versiones poste... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26415.json • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26409
https://notcve.org/view.php?id=CVE-2020-26409
11 Dec 2020 — A DOS vulnerability exists in Gitlab CE/EE >=10.3, <13.4.7,>=13.5, <13.5.5,>=13.6, <13.6.2 that allows an attacker to trigger uncontrolled resource by bypassing input validation in markdown fields. Se presenta una vulnerabilidad de DOS en Gitlab CE/EE versiones posteriores a 10.3 incluyéndola, versiones anteriores a 13.4.7, versiones posteriores a 13.5 incluyéndola, versiones anteriores a 13.5.5, versiones posteriores a 13.6 incluyéndola, versiones anteriores 13.6.2, que permite a un atacante activar un rec... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26409.json • CWE-20: Improper Input Validation CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26407
https://notcve.org/view.php?id=CVE-2020-26407
10 Dec 2020 — A XSS vulnerability exists in Gitlab CE/EE from 12.4 before 13.4.7, 13.5 before 13.5.5, and 13.6 before 13.6.2 that allows an attacker to perform cross-site scripting to other users via importing a malicious project Se presenta una vulnerabilidad de tipo XSS en Gitlab CE/EE desde versiones 12.4 anteriores a 13.4.7, versiones 13.5 anteriores a 13.5.5 y versiones 13.6 anteriores a 13.6.2, que permite a un atacante llevar a cabo ataques de tipo cross-site scripting para otros usuarios por medio de la importaci... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26407.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.6EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13359
https://notcve.org/view.php?id=CVE-2020-13359
18 Nov 2020 — The Terraform API in GitLab CE/EE 12.10+ exposed the object storage signed URL on the delete operation allowing a malicious project maintainer to overwrite the Terraform state, bypassing audit and other business controls. Affected versions are >=12.10, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. la API Terraform en GitLab CE/EE versión superior a 12.10, expuso la URL firmada de almacenamiento de objetos en la operación de borrado permitiendo a un mantenedor de proyectos malicioso sobrescribir el estado de Terr... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13359.json •