Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Tuleap Open ALM (CVE-2021-41147)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
15/10/2021
Última modificación:
21/10/2021

Descripción

Tuleap Open ALM es una herramienta libre y de código abierto para la trazabilidad de extremo a extremo de los desarrollos de aplicaciones y sistemas. En versiones anteriores a 11.16.99.173 de Community Edition y versiones 11.16-6 y 11.15-8 de Enterprise Edition, un atacante con derechos de administrador en un servicio de tablero ágil puede ejecutar consultas SQL arbitrarias. Tuleap Community Edition versión 11.16.99.173, Tuleap Enterprise Edition versión 11.16-6 y Tuleap Enterprise Edition versión 11.15-8 contienen un parche para este problema

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* 11.16.99.173 (excluyendo)
cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* 11.15-1 (incluyendo) 11.15-8 (excluyendo)
cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* 11.16-1 (incluyendo) 11.16-6 (excluyendo)