ID CVE-2019-13005
Summary An issue was discovered in GitLab Enterprise Edition and Community Edition 1.10 through 12.0.2. The GitLab graphql service was vulnerable to multiple authorization issues that disclosed restricted user, group, and repository metadata to unauthorized users. It has Incorrect Access Control.
References
Vulnerable Configurations
  • cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:community:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:community:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.10.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.2:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.3:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.4:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.5:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.6:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.7:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.11.8:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:11.13.14:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:-:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:-:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.0:pre:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.0:pre:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.1:*:*:*:enterprise:*:*:*
  • cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:enterprise:*:*:*
    cpe:2.3:a:gitlab:gitlab:12.0.2:*:*:*:enterprise:*:*:*
CVSS
Base: 4.0 (as of 24-08-2020 - 17:37)
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:N/A:N
refmap via4
confirm https://about.gitlab.com/releases/2019/07/03/security-release-gitlab-12-dot-0-dot-3-released/
misc https://about.gitlab.com/blog/categories/releases/
Last major update 24-08-2020 - 17:37
Published 10-03-2020 - 15:15
Last modified 24-08-2020 - 17:37
Back to Top