CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13272
https://notcve.org/view.php?id=CVE-2020-13272
19 Jun 2020 — OAuth flow missing verification checks CE/EE 12.3 and later through 13.0.1 allows unverified user to use OAuth authorization code flow Una falta de controles de verificación de flujo de OAuth en CE/EE versiones 12.3 y posteriores hasta la versión 13.0.1, permite al usuario no verificado utilizar un flujo del código de autorización de Oauth • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13272.json • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 7.4EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13276
https://notcve.org/view.php?id=CVE-2020-13276
19 Jun 2020 — User is allowed to set an email as a notification email even without verifying the new email in all previous GitLab CE/EE versions through 13.0.1 El usuario puede establecer un correo electrónico como correo electrónico de notificación incluso sin verificar el nuevo correo electrónico en todas las versiones anteriores de GitLab CE/EE hasta la 13.0.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13276.json • CWE-862: Missing Authorization •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-13277
https://notcve.org/view.php?id=CVE-2020-13277
19 Jun 2020 — An authorization issue in the mirroring logic allowed read access to private repositories in GitLab CE/EE 10.6 and later through 13.0.5 Un problema de autorización en la lógica de duplicación permitió el acceso de lectura a repositorios privados en GitLab CE/EE 10.6 y posteriores hasta la versión 13.0.5 • https://github.com/EXP-Docs/CVE-2020-13277 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 27EXPL: 0CVE-2020-14155 – pcre: Integer overflow when parsing callout numeric arguments
https://notcve.org/view.php?id=CVE-2020-14155
15 Jun 2020 — libpcre in PCRE before 8.44 allows an integer overflow via a large number after a (?C substring. libpcre en PCRE versiones anteriores a 8.44, permite un desbordamiento de enteros por medio de un número grande después de una subcadena (?C • http://seclists.org/fulldisclosure/2020/Dec/32 • CWE-190: Integer Overflow or Wraparound •
CVSS: 6.1EPSS: 0%CPEs: 4EXPL: 0CVE-2020-13269
https://notcve.org/view.php?id=CVE-2020-13269
10 Jun 2020 — A Reflected Cross-Site Scripting vulnerability allowed the execution of arbitrary Javascript code on the Static Site Editor in GitLab CE/EE 12.10 and later through 13.0.1 Una vulnerabilidad de tipo Cross-Site Scripting Reflejado permitió la ejecución de código Javascript arbitrario en el Static Site Editor en GitLab CE/EE versiones 12.10 y posteriores hasta 13.0.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13269.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13270
https://notcve.org/view.php?id=CVE-2020-13270
10 Jun 2020 — Missing permission check on fork relation creation in GitLab CE/EE 11.3 and later through 13.0.1 allows guest users to create a fork relation on restricted public projects via API Una falta de comprobación de permisos en la creación de relaciones de bifurcación en GitLab CE/EE versiones 11.3 y posteriores hasta 13.0.1, permite a usuarios invitados crear una relación de bifurcación en proyectos públicos restringidos mediante la API • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13270.json • CWE-862: Missing Authorization •
CVSS: 5.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-13268
https://notcve.org/view.php?id=CVE-2020-13268
10 Jun 2020 — A specially crafted request could be used to confirm the existence of files hosted on object storage services, without disclosing their contents. This vulnerability affects GitLab CE/EE 12.10 and later through 13.0.1 Se podría usar una petición especialmente diseñada para confirmar la existencia de archivos alojados en servicios de almacenamiento de objetos, sin revelar su contenido. Esta vulnerabilidad afecta a GitLab CE/EE versiones 12.10 y posteriores hasta 13.0.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13268.json • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2020-13267
https://notcve.org/view.php?id=CVE-2020-13267
10 Jun 2020 — A Stored Cross-Site Scripting vulnerability allowed the execution on Javascript payloads on the Metrics Dashboard in GitLab CE/EE 12.8 and later through 13.0.1 Una vulnerabilidad de tipo Cross-Site Scripting Almacenado, permitió la ejecución en cargas útiles de Javascript en el Metrics Dashboard en GitLab CE/EE versiones 12.8 y posteriores hasta 13.0.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13267.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13271
https://notcve.org/view.php?id=CVE-2020-13271
10 Jun 2020 — A Stored Cross-Site Scripting vulnerability allowed the execution of arbitrary Javascript code in the blobs API in all previous GitLab CE/EE versions through 13.0.1 Una vulnerabilidad de tipo Cross-Site Scripting Almacenado permitió la ejecución de código Javascript arbitrario en la API blobs en todas las versiones anteriores de GitLab CE/EE hasta 13.0.1 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13271.json • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-13266
https://notcve.org/view.php?id=CVE-2020-13266
09 Jun 2020 — Insecure authorization in Project Deploy Keys in GitLab CE/EE 12.8 and later through 13.0.1 allows users to update permissions of other users' deploy keys under certain conditions Una autorización no segura en Project Deploy Keys en GitLab CE/EE versiones 12.8 y posteriores hasta 13.0.1, permite a usuarios actualizar los permisos de las claves de despliegue de otros usuarios bajo determinadas condiciones • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13266.json • CWE-862: Missing Authorization •