Vulnerabilidad en la manipulación del mensaje de comprobación de Bean en OneDev (CVE-2021-21244)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
15/01/2021
Última modificación:
19/10/2022
Descripción
OneDev es una plataforma devops todo en uno. En OneDev versiones anteriores a 4.0.3. Se presenta una vulnerabilidad que habilita una inyección de plantilla del lado del servidor previa a la autenticación por medio de la manipulación del mensaje de comprobación de Bean. Detalles completos en la referencia GHSA. Este problema se corrigió en la versión 4.0.3 al deshabilitar la interpolación de comprobación por completo
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:onedev_project:onedev:*:*:*:*:*:*:*:* | 4.0.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página