De la base de datos nacional de vulnerabilidad del DHS / US-CERT
CVE-2020-13304
PUBLICADO: 2020-09-14
Se descubrió una vulnerabilidad en las versiones de GitLab anteriores a 13.1.10, 13.2.8 y 13.3.4. Se generó el mismo código secreto de autenticación de 2 factores, lo que resultó en que un atacante mantuviera el acceso bajo ciertas condiciones.
CVE-2020-13305
PUBLICADO: 2020-09-14
Se descubrió una vulnerabilidad en las versiones de GitLab anteriores a 13.1.10, 13.2.8 y 13.3.4. GitLab no invalidaba el enlace de invitación al proyecto al eliminar a un usuario de un proyecto.
CVE-2020-13306
PUBLICADO: 2020-09-14
Se descubrió una vulnerabilidad en las versiones de GitLab anteriores a 13.1.10, 13.2.8 y 13.3.4. La función GitLab Webhook podría abusarse para realizar ataques de denegación de servicio debido a la falta de limitación de velocidad.
CVE-2020-13309
PUBLICADO: 2020-09-14
Se descubrió una vulnerabilidad en las versiones de GitLab anteriores a 13.1.10, 13.2.8 y 13.3.4. GitLab period vulnerable a un ataque SSRF ciego a través de la función de duplicación del repositorio.
CVE-2020-13310
PUBLICADO: 2020-09-14
Se descubrió una vulnerabilidad en las versiones de ejecución de GitLab anteriores a 13.1.3, 13.2.3 y 13.3.1. Era posible hacer que el proceso de gitlab-runner se bloqueara enviando consultas con formato incorrecto, lo que resultó en una denegación de servicio.
