Vulnerabilidad en el movimiento de un proyecto de un grupo privado a un público en GitLab CE/EE (CVE-2020-13352)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/11/2020
Última modificación:
17/06/2026
Descripción
Una información de grupo privado es filtrada en GitLab CE/EE versiones 10.2 y por debajo, cuando el proyecto se mueve de un grupo privado a público. Las versiones afectadas son: versiones posteriores a 10.2 e incluyéndola, versiones anteriores a 13.3.9, versiones posteriores a 13.4 e incluyéndola, versiones anteriores a 13.4.5, versiones posteriores a 13.5 e incluyéndola, versiones anteriores a 13.5.2
Impacto
Puntuación base 3.x
3.70
Gravedad 3.x
BAJA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 10.2.0 (incluyendo) | 13.3.9 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 10.2.0 (incluyendo) | 13.3.9 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 13.4.0 (incluyendo) | 13.4.5 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 13.4.0 (incluyendo) | 13.4.5 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:community:*:*:* | 13.5.0 (incluyendo) | 13.5.2 (excluyendo) |
| cpe:2.3:a:gitlab:gitlab:*:*:*:*:enterprise:*:*:* | 13.5.0 (incluyendo) | 13.5.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13352.json
- https://gitlab.com/gitlab-org/gitlab/-/issues/38281
- https://hackerone.com/reports/748315
- https://gitlab.com/gitlab-org/cves/-/blob/master/2020/CVE-2020-13352.json
- https://gitlab.com/gitlab-org/gitlab/-/issues/38281
- https://hackerone.com/reports/748315



