CVSS: 7.6EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13359
https://notcve.org/view.php?id=CVE-2020-13359
The Terraform API in GitLab CE/EE 12.10+ exposed the object storage signed URL on the delete operation allowing a malicious project maintainer to overwrite the Terraform state, bypassing audit and other business controls. Affected versions are >=12.10, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. la API Terraform en GitLab CE/EE versión superior a 12.10, expuso la URL firmada de almacenamiento de objetos en la operación de borrado permitiendo a un mantenedor de proyectos malicioso sobrescribir el estado de Terraform, omitiendo una auditoría y otros controles de negocios. Las versiones afectadas son versiones posteriores a 12.10 incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.5 incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13359.json https://gitlab.com/gitlab-org/gitlab/-/issues/250266 •
CVSS: 8.2EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13356
https://notcve.org/view.php?id=CVE-2020-13356
An issue has been discovered in GitLab CE/EE affecting all versions starting from 8.8.9. A specially crafted request could bypass Multipart protection and read files in certain specific paths on the server. Affected versions are: >=8.8.9, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 8.8.9. Una petición especialmente diseñada podría omitir una protección Multipart y leer archivos en determinadas rutas específicas en el servidor. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13356.json https://gitlab.com/gitlab-org/gitlab/-/issues/230878 https://hackerone.com/reports/927953 •
CVSS: 8.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13355
https://notcve.org/view.php?id=CVE-2020-13355
An issue has been discovered in GitLab CE/EE affecting all versions starting from 8.14. A path traversal is found in LFS Upload that allows attacker to overwrite certain specific paths on the server. Affected versions are: >=8.14, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Se ha detectado un problema en GitLab CE/EE que afecta a todas las versiones a partir de 8.14. En LFS Upload se encuentra un salto de ruta que permite a un atacante sobrescribir determinadas rutas específicas en el servidor. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13355.json https://gitlab.com/gitlab-org/gitlab/-/issues/255886 https://hackerone.com/reports/990800 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 7.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26405
https://notcve.org/view.php?id=CVE-2020-26405
Path traversal vulnerability in package upload functionality in GitLab CE/EE starting from 12.8 allows an attacker to save packages in arbitrary locations. Affected versions are >=12.8, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una vulnerabilidad de salto de ruta en la funcionalidad package upload en GitLab CE/EE desde la versión 12.8, permite a un atacante guardar paquetes en ubicaciones arbitrarias. Las versiones afectadas son las versiones posteriores a 12.8 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.5 e incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26405.json https://gitlab.com/gitlab-org/gitlab/-/issues/247371 https://hackerone.com/reports/835427 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2020-13349
https://notcve.org/view.php?id=CVE-2020-13349
An issue has been discovered in GitLab EE affecting all versions starting from 8.12. A regular expression related to a file path resulted in the Advanced Search feature susceptible to catastrophic backtracking. Affected versions are >=8.12, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Ha sido detectado un problema en GitLab EE que afecta a todas las versiones desde 8.12. Una expresión regular relacionada con una ruta de archivo resultó en la funcionalidad Advanced Search susceptible a un retroceso catastrófico. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13349.json https://gitlab.com/gitlab-org/gitlab/-/issues/257497 • CWE-400: Uncontrolled Resource Consumption •