CVSS: 6.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13351
https://notcve.org/view.php?id=CVE-2020-13351
Insufficient permission checks in scheduled pipeline API in GitLab CE/EE 13.0+ allows an attacker to read variable names and values for scheduled pipelines on projects visible to the attacker. Affected versions are >=13.0, <13.3.9,>=13.4.0, <13.4.5,>=13.5.0, <13.5.2. Unas comprobaciones insuficientes de permisos en la API de tubería programada en GitLab CE/EE versión 13.0+, permiten a un atacante leer nombres y valores de variables para tuberías programadas en proyectos visibles para el atacante. Las versiones afectadas son las versiones posteriores a 13.0 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4.0 e incluyéndola, versiones anteriores 13.4.5, versiones posteriores a 13.5.0 e incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13351.json https://gitlab.com/gitlab-org/gitlab/-/issues/239369 https://hackerone.com/reports/962462 • CWE-276: Incorrect Default Permissions •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13352
https://notcve.org/view.php?id=CVE-2020-13352
Private group info is leaked leaked in GitLab CE/EE version 10.2 and above, when the project is moved from private to public group. Affected versions are: >=10.2, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Una información de grupo privado es filtrada en GitLab CE/EE versiones 10.2 y por debajo, cuando el proyecto se mueve de un grupo privado a público. Las versiones afectadas son: versiones posteriores a 10.2 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.5 e incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13352.json https://gitlab.com/gitlab-org/gitlab/-/issues/38281 https://hackerone.com/reports/748315 •
CVSS: 5.5EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13358
https://notcve.org/view.php?id=CVE-2020-13358
A vulnerability in the internal Kubernetes agent api in GitLab CE/EE version 13.3 and above allows unauthorized access to private projects. Affected versions are: >=13.4, <13.4.5,>=13.3, <13.3.9,>=13.5, <13.5.2. Una vulnerabilidad en la api del agente Kubernetes interno en GitLab CE/EE versiones 13.3 y por debajo, permite el acceso no autorizado a proyectos privados. Las versiones afectadas son: versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.3 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.5 e incluyéndola, versiones anteriores a 13.5.2 • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13358.json https://gitlab.com/gitlab-org/gitlab/-/issues/241674 •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2020-26406
https://notcve.org/view.php?id=CVE-2020-26406
Certain SAST CiConfiguration information could be viewed by unauthorized users in GitLab EE starting with 13.3. This information was exposed through GraphQL to non-members of public projects with repository visibility restricted as well as guest members on private projects. Affected versions are: >=13.3, <13.3.9,>=13.4, <13.4.5,>=13.5, <13.5.2. Determinada información de SAST CiConfiguration podría ser visualizada por usuarios no autorizados en GitLab EE a partir de la versión 13.3. Esta información fue expuesta por medio de GraphQL a no miembros de proyectos públicos con visibilidad del repositorio restringida, así como a miembros invitados en proyectos privados. • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-26406.json https://gitlab.com/gitlab-org/gitlab/-/issues/244921 https://hackerone.com/reports/965602 •
CVSS: 4.9EPSS: 0%CPEs: 6EXPL: 0CVE-2020-13341
https://notcve.org/view.php?id=CVE-2020-13341
An issue has been discovered in GitLab affecting all versions prior to 13.2.10, 13.3.7 and 13.4.2. Insufficient permission check allows attacker with developer role to perform various deletions. Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2. Una comprobación insuficiente de permisos permite a un atacante con rol de desarrollador llevar a cabo varias eliminaciones • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13341.json https://gitlab.com/gitlab-org/gitlab/-/issues/239348 https://hackerone.com/reports/960244 • CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') •