Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el requisito de permiso add_issue_notes en la API Issues en Redmine (CVE-2021-30164)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/04/2021
Última modificación:
02/06/2021

Descripción

Redmine versiones anteriores a 4.0.8 y versiones 4.1.x anteriores a 4.1.2, permite a atacantes omitir el requisito de permiso add_issue_notes al aprovechar la API Issues

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redmine:redmine:*:*:*:*:*:*:*:* 4.0.8 (excluyendo)
cpe:2.3:a:redmine:redmine:*:*:*:*:*:*:*:* 4.1.0 (incluyendo) 4.1.2 (excluyendo)
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*