CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13350
https://notcve.org/view.php?id=CVE-2020-13350
17 Nov 2020 — CSRF in runner administration page in all versions of GitLab CE/EE allows an attacker who's able to target GitLab instance administrators to pause/resume runners. Affected versions are >=13.5.0, <13.5.2,>=13.4.0, <13.4.5,<13.3.9. Un CSRF en la página de administración del ejecutor en todas las versiones de GitLab CE/EE, permite a un atacante que pueda apuntar a administradores de instancias de GitLab pausar y reanudar los ejecutores. Las versiones afectadas son las versiones posteriores a 13.5.0 e incl... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13350.json • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13351
https://notcve.org/view.php?id=CVE-2020-13351
17 Nov 2020 — Insufficient permission checks in scheduled pipeline API in GitLab CE/EE 13.0+ allows an attacker to read variable names and values for scheduled pipelines on projects visible to the attacker. Affected versions are >=13.0, <13.3.9,>=13.4.0, <13.4.5,>=13.5.0, <13.5.2. Unas comprobaciones insuficientes de permisos en la API de tubería programada en GitLab CE/EE versión 13.0+, permiten a un atacante leer nombres y valores de variables para tuberías programadas en proyectos visibles para el atacante. Las v... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13351.json • CWE-276: Incorrect Default Permissions •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-13354
https://notcve.org/view.php?id=CVE-2020-13354
17 Nov 2020 — A potential DOS vulnerability was discovered in GitLab CE/EE starting with version 12.6. The container registry name check could cause exponential number of backtracks for certain user supplied values resulting in high CPU usage. Affected versions are: >=12.6, <13.3.9. Se detectó una posible vulnerabilidad de DOS en GitLab CE/EE desde la versión 12.6. La comprobación del nombre del registro del contenedor podría causar un número exponencial de retrocesos para determinados valores suministrados por el usuari... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13354.json • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13352
https://notcve.org/view.php?id=CVE-2020-13352
17 Nov 2020 — Private group info is leaked leaked in GitLab CE/EE version 10.2 and above, when the project is moved from private to public group. Affected versions are: >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una información de grupo privado es filtrada en GitLab CE/EE versiones 10.2 y por debajo, cuando el proyecto se mueve de un grupo privado a público. Las versiones afectadas son: versiones posteriores a 10.2 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13352.json •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13358
https://notcve.org/view.php?id=CVE-2020-13358
17 Nov 2020 — A vulnerability in the internal Kubernetes agent api in GitLab CE/EE version 13.3 and above allows unauthorized access to private projects. Affected versions are: >=13.4, <13.4.5,>=13.3, <13.3.9,>=13.5, <13.5.2. Una vulnerabilidad en la api del agente Kubernetes interno en GitLab CE/EE versiones 13.3 y por debajo, permite el acceso no autorizado a proyectos privados. Las versiones afectadas son: versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.3 e incluy... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13358.json •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26406
https://notcve.org/view.php?id=CVE-2020-26406
17 Nov 2020 — Certain SAST CiConfiguration information could be viewed by unauthorized users in GitLab EE starting with 13.3. This information was exposed through GraphQL to non-members of public projects with repository visibility restricted as well as guest members on private projects. Affected versions are: >=13.3, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Determinada información de SAST CiConfiguration podría ser visualizada por usuarios no autorizados en GitLab EE a partir de la versión 13.3. Esta información fue exp... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26406.json •
CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13341
https://notcve.org/view.php?id=CVE-2020-13341
12 Oct 2020 — An issue has been discovered in GitLab affecting all versions prior to 13.2.10, 13.3.7 and 13.4.2. Insufficient permission check allows attacker with developer role to perform various deletions. Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2. Una comprobación insuficiente de permisos permite a un atacante con rol de desarrollador llevar a cabo varias eliminaciones • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13341.json • CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13339
https://notcve.org/view.php?id=CVE-2020-13339
08 Oct 2020 — An issue has been discovered in GitLab affecting all versions before 13.2.10, 13.3.7 and 13.4.2: XSS in SVG File Preview. Overall impact is limited due to the current user only being impacted. Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2: Una vulnerabilidad de tipo XSS en SVG File Preview. El impacto general es limitado debido a que solo el usuario actual esta siendo impactado • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13339.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.7EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13340
https://notcve.org/view.php?id=CVE-2020-13340
08 Oct 2020 — An issue has been discovered in GitLab affecting all versions prior to 13.2.10, 13.3.7 and 13.4.2: Stored XSS in CI Job Log Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2: Una vulnerabilidad de tipo XSS almacenado en CI Job Log • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13340.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.7EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13344
https://notcve.org/view.php?id=CVE-2020-13344
08 Oct 2020 — An issue has been discovered in GitLab affecting all versions prior to 13.2.10, 13.3.7 and 13.4.2. Sessions keys are stored in plain-text in Redis which allows attacker with Redis access to authenticate as any user that has a session stored in Redis Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2. Las claves de las sesiones son almacenadas en texto plano en Redis, lo que permite al atacante con acceso a Redis autenticarse como cualquier usuari... • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13344.json • CWE-522: Insufficiently Protected Credentials •