CVE-2020-13335
https://notcve.org/view.php?id=CVE-2020-13335
Improper group membership validation when deleting a user account in GitLab >=7.12 allows a user to delete own account without deleting/transferring their group. Una comprobación inapropiada de la membresía de un grupo al eliminar una cuenta de usuario en GitLab versiones posteriores e incluyendo a 7.12, permite a un usuario eliminar su propia cuenta sin eliminar y transferir su grupo • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13335.json https://gitlab.com/gitlab-org/gitlab/-/issues/27231 https://hackerone.com/reports/503823 • CWE-863: Incorrect Authorization •
CVE-2020-13333
https://notcve.org/view.php?id=CVE-2020-13333
A potential DOS vulnerability was discovered in GitLab versions 13.1, 13.2 and 13.3. The api to update an asset as a link from a release had a regex check which caused exponential number of backtracks for certain user supplied values resulting in high CPU usage. Se detectó una potencial vulnerabilidad de DOS en GitLab versiones 13.1, 13.2 y 13.3. La API para actualizar un activo como un enlace desde una versión que tenía una comprobación de expresiones regulares que causó un número exponencial de retrocesos para determinados valores suministrados por el usuario, resultando en un alto uso de la CPU • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13333.json https://gitlab.com/gitlab-org/gitlab/-/issues/218753 https://hackerone.com/reports/870820 • CWE-400: Uncontrolled Resource Consumption •
CVE-2020-13345
https://notcve.org/view.php?id=CVE-2020-13345
An issue has been discovered in GitLab affecting all versions starting from 10.8. Reflected XSS on Multiple Routes Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 10.8. Un vulnerabilidad de tipo XSS reflejado en Múltiples Rutas • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13345.json https://gitlab.com/gitlab-org/gitlab/-/issues/232829 https://hackerone.com/reports/946728 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-13343
https://notcve.org/view.php?id=CVE-2020-13343
An issue has been discovered in GitLab affecting all versions starting from 11.2. Unauthorized Users Can View Custom Project Template Se ha detectado un problema en GitLab que afecta a todas las versiones a partir de la 11.2. Los Usuarios No Autorizados pueden Visualizar la Plantilla de Proyecto Personalizada • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13343.json https://gitlab.com/gitlab-org/gitlab/-/issues/14861 https://hackerone.com/reports/689314 • CWE-668: Exposure of Resource to Wrong Sphere •
CVE-2020-13296
https://notcve.org/view.php?id=CVE-2020-13296
An issue has been discovered in GitLab affecting versions >=10.7 <13.0.14, >=13.1.0 <13.1.8, >=13.2.0 <13.2.6. Improper Access Control for Deploy Tokens Se ha detectado un problema en GitLab que afecta a versiones posteriores e incluyendo a 10.7 anteriores a 13.0.14, posteriores e incluyendo a 13.1.0 anteriores a 13.1.8, posteriores e incluyendo a 13.2.0 anteriores a 13.2.6. Un Control de Acceso Inapropiado para los Tokens de Implementación • https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13296.json https://gitlab.com/gitlab-org/gitlab/-/issues/235996 https://hackerone.com/reports/957459 • CWE-862: Missing Authorization •