Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 13.1.10、13.2.8 和 13.3.4 之前的 GitLab 中发现一个漏洞。 Wiki 容易遭受解析器攻击，该攻击禁止任何人通过用户界面访问 Wiki 功能。
    (CVE-2020-13311)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

リモートホストにインストールされている GitLab のバージョンは、以下の脆弱性の影響を受けます:

  - 13.1.10、13.2.8、および 13.3.4 より前のバージョンの GitLab に脆弱性が見つかりました。Wiki は、ユーザーインターフェースを通じて Wiki 機能へのアクセスを禁止するパーサー攻撃に脆弱でした。
    (CVE-2020-13311)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

The version of GitLab installed on the remote host is affected by a vulnerability, as follows:

  - A vulnerability was discovered in GitLab versions before 13.1.10, 13.2.8 and 13.3.4. Wiki was vulnerable     to a parser attack that prohibits anyone from accessing the Wiki functionality through the user interface.
    (CVE-2020-13311)

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

远程主机上安装的 GitLab 版本受到以下漏洞的影响：

  - 在 13.1.10、13.2.8 和 13.3.4 之前的 GitLab 中发现一个漏洞。 Wiki 容易遭受解析器攻击，该攻击禁止任何人通过用户界面访问 Wiki 功能。
    (CVE-2020-13311)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

遠端主機上安裝的 GitLab 版本受到下列弱點影響：

  - 在 GitLab 13.1.10 之前版本、13.2.8 和 13.3.4 版中發現一個弱點。Wiki 容易遭受剖析器攻擊，該攻擊會禁止任何人透過使用者介面存取 Wiki 功能。
    (CVE-2020-13311)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Gitlab reports :

Vendor Cross-Account Assume-Role Attack

Stored XSS on the Vulnerability Page

Outdated Job Token Can Be Reused to Access Unauthorized Resources

File Disclosure Via Workhorse File Upload Bypass

Unauthorized Maintainer Can Edit Group Badge

Denial of Service Within Wiki Functionality

Sign-in Vulnerable to Brute-force Attacks

Invalidated Session Allows Account Access With an Old Password

GitLab Omniauth Endpoint Renders User Controlled Messages

Blind SSRF Through Repository Mirroring

Information Disclosure Through Incorrect Group Permission Verifications

No Rate Limit on GitLab Webhook Feature

GitLab Session Revocation Feature Does Not Invalidate All Sessions

OAuth Authorization Scope for an External Application Can Be Changed Without User Consent

Unauthorized Maintainer Can Delete Repository

Improper Verification of Deploy-Key Leads to Access Restricted Repository

Disabled Repository Still Accessible With a Deploy-Token

Duplicated Secret Code Generated by 2 Factor Authentication Mechanism

Lack of Validation Within Project Invitation Flow

Current Sessions Not Invalidated Upon Enabling 2 Factor Authentication

Users Without 2 Factor Authentication Can Be Blocked Accessing GitLab

Lack of Upper Bound Check Leading to Possible Denial of Service

2 Factor Authentication for Groups Was Not Enforced Within API Endpoint

GitLab Runner Denial of Service via CI Jobs

Update jQuery Dependency

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - A vulnerability was discovered in GitLab versions before 13.1.10, 13.2.8 and 13.3.4. Wiki was vulnerable     to a parser attack that prohibits anyone from accessing the Wiki functionality through the user interface.
    (CVE-2020-13311)

Note that Nessus relies on the presence of the package as reported by the vendor.

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - 在 GitLab 13.1.10 之前版本、13.2.8 和 13.3.4 版中發現一個弱點。Wiki 容易遭受剖析器攻擊，該攻擊會禁止任何人透過使用者介面存取 Wiki 功能。
    (CVE-2020-13311)

請注意，Nessus 依賴供應商報告的套件存在。

Gitlab レポート：

ベンダークロスアカウント想定ロール攻撃

脆弱性ページの蓄積型XSS

権限のないリソースにアクセスするために古いジョブトークンが再利用される可能性があります

Workhorseファイルのアップロードのバイパスによるファイル開示

権限のないメンテナーがグループバッジを編集できます

Wiki機能内のサービス拒否

ブルートフォース攻撃に脆弱なサインイン

セッションを無効化すると、古いパスワードでアカウントにアクセスできます

GitLab Omniauthエンドポイントがユーザーが制御するメッセージをレンダリングします

リポジトリミラーリングによるブラインドSSRF

不適切なグループ権限検証による情報漏洩

GitLab Webhook機能にレート制限がありません

GitLabセッション失効機能はすべてのセッションを無効化しません

外部アプリケーションのOAuth認証範囲がユーザーの同意なしに変更される可能性があります

権限のないメンテナーがリポジトリを削除できます

Deploy-Keyの不適切な検証によるアクセス制限リポジトリ

Deploy-Tokenでまだアクセス可能な無効化されたリポジトリ

2要素認証メカニズムにより生成される重複秘密コード

プロジェクト招待フロー内の検証の欠如

2段階認証を有効化しても現在のセッションが無効化されません

2要素認証を使用していないユーザーがGitLabにアクセスしてブロックされます

サービス拒否の可能性につながる上限チェックの欠如

APIエンドポイント内でグループの2要素認証が実施されません

CIジョブを介したGitLab Runnerのサービス拒否

jQueryの依存関係を更新します

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 13.1.10、13.2.8、および 13.3.4 より前のバージョンの GitLab に脆弱性が見つかりました。Wiki は、ユーザーインターフェースを通じて Wiki 機能へのアクセスを禁止するパーサー攻撃に脆弱でした。
    (CVE-2020-13311)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

ID	Name	Product	Family	Published	Updated	Severity
250709	Linux Distros 未修补的漏洞：CVE-2020-13311	Nessus	Misc.	8/18/2025	8/18/2025	medium
197449	GitLab 1.0 < 13.1.10 / 13.2 < 13.2.8 / 13.3 < 13.3.4 (CVE-2020-13311)	Nessus	CGI abuses	5/17/2024	5/17/2024	medium
197449	GitLab 1.0 < 13.1.10 / 13.2 < 13.2.8 / 13.3 < 13.3.4 (CVE-2020-13311)	Nessus	CGI abuses	5/17/2024	5/17/2024	medium
197449	GitLab 1.0 < 13.1.10/13.2 < 13.2.8/13.3 < 13.3.4 (CVE-2020-13311)	Nessus	CGI abuses	5/17/2024	5/17/2024	medium
197449	GitLab 1.0 <13.1.10/13.2 < 13.2.8/13.3 < 13.3.4 (CVE-2020-13311)	Nessus	CGI abuses	5/17/2024	5/17/2024	medium
140234	FreeBSD : Gitlab -- multiple vulnerabilities (1fb13175-ed52-11ea-8b93-001b217b3468)	Nessus	FreeBSD Local Security Checks	9/4/2020	12/6/2022	critical
250709	Linux Distros Unpatched Vulnerability : CVE-2020-13311	Nessus	Misc.	8/18/2025	8/18/2025	medium
250709	Linux Distros 未修補的弱點：CVE-2020-13311	Nessus	Misc.	8/18/2025	8/18/2025	medium
140234	FreeBSD：Gitlab -- 複数の脆弱性（1fb13175-ed52-11ea-8b93-001b217b3468）	Nessus	FreeBSD Local Security Checks	9/4/2020	12/6/2022	critical
250709	Linux Distros のパッチ未適用の脆弱性: CVE-2020-13311	Nessus	Misc.	8/18/2025	8/18/2025	medium

Detections

Analytics

Plugins Search

medium

medium

medium

medium

medium

critical

medium

medium

critical

medium