Vulnerabilidad en Tuleap Open ALM (CVE-2021-41142)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/10/2021
Última modificación:
20/10/2021
Descripción
Tuleap Open ALM es una herramienta libre y de código abierto para la trazabilidad de extremo a extremo de los desarrollos de aplicaciones y sistemas. Se presenta una vulnerabilidad de tipo cross-site scripting en Tuleap Community Edition versiones anteriores a 12.11.99.25 y Tuleap Enterprise Edition versión 12.11-2. Un usuario malicioso con capacidad para añadir y eliminar archivos adjuntos a un artefacto podría forzar a la víctima a ejecutar código no controlado. Tuleap Community Edition 11.17.99.146 y Tuleap Enterprise Edition 12.11-2 contienen una corrección del problema
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* | 11.17.99.146 (excluyendo) | |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 12.11-2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Enalean/tuleap/commit/d6c837ed6fa66d319175954a42f93d4d86745208
- https://github.com/Enalean/tuleap/security/advisories/GHSA-p3j6-6h9h-34r5
- https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=d6c837ed6fa66d319175954a42f93d4d86745208
- https://tuleap.net/plugins/tracker/?aid=22570