Vulnerabilidad en Tuleap (CVE-2022-24896)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/06/2022
Última modificación:
15/06/2022
Descripción
Tuleap es una suite libre y de código abierto para administrar el desarrollo de software y la colaboración. En versiones anteriores a 13.7.99.239, Tuleap no verifica apropiadamente las autorizaciones cuando muestra el contenido del renderizador de informes de seguimiento y los widgets de gráficos. Unos usuarios maliciosos podrían usar esta vulnerabilidad para recuperar el nombre de un rastreador al que no pueden acceder, así como el nombre de los campos usados en los informes
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 13.6-5 (excluyendo) | |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* | 13.7.99.239 (excluyendo) | |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 13.7-1 (incluyendo) | 13.7-4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Enalean/tuleap/commit/8e99e7c82d9fe569799019b9e1d614d38a184313
- https://github.com/Enalean/tuleap/security/advisories/GHSA-x962-x43g-qw39
- https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=8e99e7c82d9fe569799019b9e1d614d38a184313
- https://tuleap.net/plugins/tracker/?aid=26729