CVSS: 8.2EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13356
https://notcve.org/view.php?id=CVE-2020-13356
18 Nov 2020 — An issue has been discovered in GitLab CE/EE affecting all versions starting from 8.8.9. A specially crafted request could bypass Multipart protection and read files in certain specific paths on the server. Affected versions are: >=8.8.9, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 8.8.9. Una petición especialmente diseñada podría omitir una protección Multipart y leer archivos en determinadas rutas específicas en el ... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13356.json •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13355
https://notcve.org/view.php?id=CVE-2020-13355
18 Nov 2020 — An issue has been discovered in GitLab CE/EE affecting all versions starting from 8.14. A path traversal is found in LFS Upload that allows attacker to overwrite certain specific paths on the server. Affected versions are: >=8.14, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 8.14. En LFS Upload se encuentra un salto de ruta que permite a un atacante sobrescribir determinadas rutas específicas en el servidor. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13355.json • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26405
https://notcve.org/view.php?id=CVE-2020-26405
17 Nov 2020 — Path traversal vulnerability in package upload functionality in GitLab CE/EE starting from 12.8 allows an attacker to save packages in arbitrary locations. Affected versions are >=12.8, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una vulnerabilidad de salto de ruta en la funcionalidad package upload en GitLab CE/EE desde la versión 12.8, permite a un atacante guardar paquetes en ubicaciones arbitrarias. Las versiones afectadas son las versiones posteriores a 12.8 e incluyéndola, versiones anteriores a 13.... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26405.json • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2020-13349
https://notcve.org/view.php?id=CVE-2020-13349
17 Nov 2020 — An issue has been discovered in GitLab EE affecting all versions starting from 8.12. A regular expression related to a file path resulted in the Advanced Search feature susceptible to catastrophic backtracking. Affected versions are >=8.12, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Ha sido detectado un problema en GitLab EE que afecta a todas las versiones desde 8.12. Una expresión regular relacionada con una ruta de archivo resultó en la funcionalidad Advanced Search susceptible a un retroceso catastró... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13349.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.7EPSS: 0%CPEs: 3EXPL: 0CVE-2020-13348
https://notcve.org/view.php?id=CVE-2020-13348
17 Nov 2020 — An issue has been discovered in GitLab EE affecting all versions starting from 10.2. Required CODEOWNERS approval could be bypassed by targeting a branch without the CODEOWNERS file. Affected versions are >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Ha sido detectado un problema en GitLab EE que afecta a todas las versiones desde 10.2. La aprobación de CODEOWNERS requerida podría omitirse al apuntar a una sucursal sin el archivo CODEOWNERS. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13348.json •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13350
https://notcve.org/view.php?id=CVE-2020-13350
17 Nov 2020 — CSRF in runner administration page in all versions of GitLab CE/EE allows an attacker who's able to target GitLab instance administrators to pause/resume runners. Affected versions are >=13.5.0, <13.5.2,>=13.4.0, <13.4.5,<13.3.9. Un CSRF en la página de administración del ejecutor en todas las versiones de GitLab CE/EE, permite a un atacante que pueda apuntar a administradores de instancias de GitLab pausar y reanudar los ejecutores. Las versiones afectadas son las versiones posteriores a 13.5.0 e incl... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13350.json • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13351
https://notcve.org/view.php?id=CVE-2020-13351
17 Nov 2020 — Insufficient permission checks in scheduled pipeline API in GitLab CE/EE 13.0+ allows an attacker to read variable names and values for scheduled pipelines on projects visible to the attacker. Affected versions are >=13.0, <13.3.9,>=13.4.0, <13.4.5,>=13.5.0, <13.5.2. Unas comprobaciones insuficientes de permisos en la API de tubería programada en GitLab CE/EE versión 13.0+, permiten a un atacante leer nombres y valores de variables para tuberías programadas en proyectos visibles para el atacante. Las v... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13351.json • CWE-276: Incorrect Default Permissions •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-13354
https://notcve.org/view.php?id=CVE-2020-13354
17 Nov 2020 — A potential DOS vulnerability was discovered in GitLab CE/EE starting with version 12.6. The container registry name check could cause exponential number of backtracks for certain user supplied values resulting in high CPU usage. Affected versions are: >=12.6, <13.3.9. Se detectó una posible vulnerabilidad de DOS en GitLab CE/EE desde la versión 12.6. La comprobación del nombre del registro del contenedor podría causar un número exponencial de retrocesos para determinados valores suministrados por el usuari... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13354.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13352
https://notcve.org/view.php?id=CVE-2020-13352
17 Nov 2020 — Private group info is leaked leaked in GitLab CE/EE version 10.2 and above, when the project is moved from private to public group. Affected versions are: >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una información de grupo privado es filtrada en GitLab CE/EE versiones 10.2 y por debajo, cuando el proyecto se mueve de un grupo privado a público. Las versiones afectadas son: versiones posteriores a 10.2 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13352.json •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13358
https://notcve.org/view.php?id=CVE-2020-13358
17 Nov 2020 — A vulnerability in the internal Kubernetes agent api in GitLab CE/EE version 13.3 and above allows unauthorized access to private projects. Affected versions are: >=13.4, <13.4.5,>=13.3, <13.3.9,>=13.5, <13.5.2. Una vulnerabilidad en la api del agente Kubernetes interno en GitLab CE/EE versiones 13.3 y por debajo, permite el acceso no autorizado a proyectos privados. Las versiones afectadas son: versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.3 e incluy... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13358.json •