CVSS: 5.7EPSS: 0%CPEs: 3EXPL: 0CVE-2020-13348
https://notcve.org/view.php?id=CVE-2020-13348
An issue has been discovered in GitLab EE affecting all versions starting from 10.2. Required CODEOWNERS approval could be bypassed by targeting a branch without the CODEOWNERS file. Affected versions are >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Ha sido detectado un problema en GitLab EE que afecta a todas las versiones desde 10.2. La aprobación de CODEOWNERS requerida podría omitirse al apuntar a una sucursal sin el archivo CODEOWNERS. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13348.json https://gitlab.com/gitlab-org/gitlab/-/issues/246928 •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13350
https://notcve.org/view.php?id=CVE-2020-13350
CSRF in runner administration page in all versions of GitLab CE/EE allows an attacker who's able to target GitLab instance administrators to pause/resume runners. Affected versions are >=13.5.0, <13.5.2,>=13.4.0, <13.4.5,<13.3.9. Un CSRF en la página de administración del ejecutor en todas las versiones de GitLab CE/EE, permite a un atacante que pueda apuntar a administradores de instancias de GitLab pausar y reanudar los ejecutores. Las versiones afectadas son las versiones posteriores a 13.5.0 e incluyéndola, versiones anteriores a 13.5.2, versiones posteriores a 13.4.0 e incluyéndola, versiones anteriores a 13.4.5, versiones anteriores a 13.3.9 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13350.json https://gitlab.com/gitlab-org/gitlab/-/issues/24416 https://hackerone.com/reports/415238 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13351
https://notcve.org/view.php?id=CVE-2020-13351
Insufficient permission checks in scheduled pipeline API in GitLab CE/EE 13.0+ allows an attacker to read variable names and values for scheduled pipelines on projects visible to the attacker. Affected versions are >=13.0, <13.3.9,>=13.4.0, <13.4.5,>=13.5.0, <13.5.2. Unas comprobaciones insuficientes de permisos en la API de tubería programada en GitLab CE/EE versión 13.0+, permiten a un atacante leer nombres y valores de variables para tuberías programadas en proyectos visibles para el atacante. Las versiones afectadas son las versiones posteriores a 13.0 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4.0 e incluyéndola, versiones anteriores 13.4.5, versiones posteriores a 13.5.0 e incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13351.json https://gitlab.com/gitlab-org/gitlab/-/issues/239369 https://hackerone.com/reports/962462 • CWE-276: Incorrect Default Permissions •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-13354
https://notcve.org/view.php?id=CVE-2020-13354
A potential DOS vulnerability was discovered in GitLab CE/EE starting with version 12.6. The container registry name check could cause exponential number of backtracks for certain user supplied values resulting in high CPU usage. Affected versions are: >=12.6, <13.3.9. Se detectó una posible vulnerabilidad de DOS en GitLab CE/EE desde la versión 12.6. La comprobación del nombre del registro del contenedor podría causar un número exponencial de retrocesos para determinados valores suministrados por el usuario resultando en un uso elevado de la CPU. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13354.json https://gitlab.com/gitlab-org/gitlab/-/issues/220019 https://hackerone.com/reports/869875 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13352
https://notcve.org/view.php?id=CVE-2020-13352
Private group info is leaked leaked in GitLab CE/EE version 10.2 and above, when the project is moved from private to public group. Affected versions are: >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una información de grupo privado es filtrada en GitLab CE/EE versiones 10.2 y por debajo, cuando el proyecto se mueve de un grupo privado a público. Las versiones afectadas son: versiones posteriores a 10.2 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.5 e incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13352.json https://gitlab.com/gitlab-org/gitlab/-/issues/38281 https://hackerone.com/reports/748315 •