Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el contenedor FilteredRepository en Gerrit (CVE-2020-8920)

Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/12/2020
Última modificación:
07/10/2021

Descripción

Se presenta una vulnerabilidad de filtración de información en Gerrit versiones anteriores a 2.14.22, 2.15.21, 2.16.25, 3.0.15, 3.1.10, 3.2.5, donde una sobre optimización con el contenedor FilteredRepository omite una comprobación de acceso en los repositorios de todos los usuarios, lo que permite a un atacante conseguir acceso de lectura a la información personal de todos los usuarios asociada con sus cuentas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:google:gerrit:*:*:*:*:*:*:*:* 2.14.0 (incluyendo) 2.14.22 (excluyendo)
cpe:2.3:a:google:gerrit:*:*:*:*:*:*:*:* 2.15.0 (incluyendo) 2.15.21 (excluyendo)
cpe:2.3:a:google:gerrit:*:*:*:*:*:*:*:* 2.16.0 (incluyendo) 2.16.25 (excluyendo)
cpe:2.3:a:google:gerrit:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.0.15 (excluyendo)
cpe:2.3:a:google:gerrit:*:*:*:*:*:*:*:* 3.1.0 (incluyendo) 3.1.10 (excluyendo)
cpe:2.3:a:google:gerrit:*:*:*:*:*:*:*:* 3.2.0 (incluyendo) 3.2.5 (excluyendo)