1. CVE-Search
  2. CVE-2018-19584
ID CVE-2018-19584
Summary GitLab EE, versions 11.x before 11.3.11, 11.4 before 11.4.8, and 11.5 before 11.5.1, is vulnerable to an insecure direct object reference vulnerability that allows authenticated, but unauthorized, users to view members and milestone details of private groups.
References
Vulnerable Configurations
  • cpe:2.3:a:gitlab:gitlab:11.0.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.0.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.0.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.0.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.0.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.0.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.0.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.0.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.0.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.0.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.0.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.0.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.0.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.1.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.1.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.2.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.2.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.3.10:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.3.10:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.4.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.4.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc1:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc1:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc10:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc10:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc11:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc11:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc12:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc12:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc13:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc13:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc2:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc2:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc3:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc3:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc4:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc4:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc5:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc5:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc6:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc6:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc7:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc7:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc8:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc8:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.5.0:rc9:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.5.0:rc9:*:*:enterprise:*:*:*
CVSS
Base: 5.0 (as of 24-08-2020 - 17:37)
Impact:
Exploitability:
CWE CWE-639
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:N/C:P/I:N/A:N
refmap via4
confirm https://about.gitlab.com/2018/11/28/security-release-gitlab-11-dot-5-dot-1-released/
misc https://gitlab.com/gitlab-org/gitlab-ce/issues/52522
Last major update 24-08-2020 - 17:37
Published 10-07-2019 - 17:15
Last modified 24-08-2020 - 17:37
Back to Top