ID CVE-2019-13001
Summary An issue was discovered in GitLab Community and Enterprise Edition 11.9 and later through 12.0.2. GitLab Snippets were vulnerable to an authorization issue that allowed unauthorized users to add comments to a private snippet. It allows authentication bypass.
References
Vulnerable Configurations
  • cpe:2.3:a:gitlab:gitlab:11.9.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.3:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.3:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.4:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.4:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.5:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.5:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.6:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.6:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.7:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.7:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.8:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.8:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.9:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.9:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.10:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.10:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.11:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.11:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.12:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.12:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.9:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.9:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.10:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.10:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.11:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.11:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.9.12:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.9.12:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:pre:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:pre:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:enterprise:*:*:*
CVSS
Base: 4.0 (as of 10-03-2020 - 18:52)
Impact:
Exploitability:
CWE CWE-863
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
NONE PARTIAL NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:N/I:P/A:N
refmap via4
confirm https://about.gitlab.com/releases/2019/07/03/security-release-gitlab-12-dot-0-dot-3-released/
misc https://about.gitlab.com/blog/categories/releases/
Last major update 10-03-2020 - 18:52
Published 10-03-2020 - 15:15
Last modified 10-03-2020 - 18:52
Back to Top