Vulnerabilidad en el título de un documento en Tuleap (CVE-2022-31063)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
29/06/2022
Última modificación:
15/07/2022
Descripción
Tuleap es una suite libre y de código abierto para mejorar la administración de los desarrollos de software y la colaboración. En versiones anteriores a 13.9.99.111, el título de un documento no se escapa apropiadamente en el resultado de la búsqueda del widget MyDocmanSearch y en la página de administración de los documentos bloqueados. Un usuario malicioso con capacidad para crear un documento podría forzar a la víctima a ejecutar código no controlado. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* | 13.9.99.111 (excluyendo) | |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 13.8.0 (incluyendo) | 13.8.6 (excluyendo) |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 13.9.0 (incluyendo) | 13.9.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Enalean/tuleap/commit/c947975a4f1ff7bbfd7d5cd24a2e16bf12bd96d4
- https://github.com/Enalean/tuleap/security/advisories/GHSA-4fx8-4ff3-96jf
- https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=c947975a4f1ff7bbfd7d5cd24a2e16bf12bd96d4
- https://tuleap.net/plugins/tracker/?aid=27173