1. CVE-Search
  2. CVE-2019-12825
ID CVE-2019-12825
Summary Unauthorized Access to the Container Registry of other groups was discovered in GitLab Enterprise 12.0.0-pre. In other words, authenticated remote attackers can read Docker registries of other groups. When a legitimate user changes the path of a group, Docker registries are not adapted, leaving them in the old namespace. They are not protected and are available to all other users with no previous access to the repo.
References
Vulnerable Configurations
  • cpe:2.3:a:gitlab:gitlab:12.0.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:pre:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:pre:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.10:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.10:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.12:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.12:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.10:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.10:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.11:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.11:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.12:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.12:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.13:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.13:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.1.14:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.1.14:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.2.11:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.2.11:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.3.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.3.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.4.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.4.8:*:*:*:enterprise:*:*:*
CVSS
Base: 4.0 (as of 28-02-2020 - 19:52)
Impact:
Exploitability:
CWE CWE-922
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:N/A:N
refmap via4
confirm https://atomic111.github.io/article/gitlab-Unauthorized-Access-to-Container-Registry
misc https://about.gitlab.com/blog/categories/releases/
Last major update 28-02-2020 - 19:52
Published 17-02-2020 - 14:15
Last modified 28-02-2020 - 19:52
Back to Top