Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Enalean Tuleap (CVE-2017-7411)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
30/10/2017
Última modificación:
20/04/2025

Descripción

Se ha descubierto un problema en Enalean Tuleap en versiones 9.6 y anteriores. La vulnerabilidad existe debido a que el método User::getRecentElements() está empleando la función unserialize() con un valor de preferencia que puede ser manipulado de forma arbitraria por usuarios maliciosos mediante la interfaz REST de API. Esto puede ser explotado para inyectar objetos PHP arbitrarios en el ámbito de la aplicación, lo que permite que un atacante realice una serie de ataques (incluyendo, pero no limitados a la ejecución remota de código).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:enalean:tuleap:*:*:*:*:*:*:*:* 9.6 (incluyendo)