Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la manipulación del mensaje de comprobación de Bean en OneDev (CVE-2021-21244)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
15/01/2021
Última modificación:
19/10/2022

Descripción

OneDev es una plataforma devops todo en uno. En OneDev versiones anteriores a 4.0.3. Se presenta una vulnerabilidad que habilita una inyección de plantilla del lado del servidor previa a la autenticación por medio de la manipulación del mensaje de comprobación de Bean. Detalles completos en la referencia GHSA. Este problema se corrigió en la versión 4.0.3 al deshabilitar la interpolación de comprobación por completo

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:onedev_project:onedev:*:*:*:*:*:*:*:* 4.0.3 (excluyendo)