Vulnerabilidad en la construcción de la consulta SQL en los repositorios CVS en Tuleap (CVE-2021-41155)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
18/10/2021
Última modificación:
22/10/2021
Descripción
Tuleap es una Suite Libre y de Código Abierto para mejorar la administración de desarrolladores de software y colaboración. En las versiones afectadas Tuleap no sanea apropiadamente las entradas del usuario cuando construye la consulta SQL para navegar y buscar revisiones en los repositorios CVS. Las siguientes versiones contienen la corrección: Tuleap Community Edition versión 11.17.99.146, Tuleap Enterprise Edition versión 11.17-5, Tuleap Enterprise Edition versión 11.16-7
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* | 11.17.99.146 (excluyendo) | |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 11.16-1 (incluyendo) | 11.16-7 (excluyendo) |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 11.17-1 (incluyendo) | 11.17-5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Enalean/tuleap/commit/ff75f2899c60a4546ee2d532e68a3febd07bdd14
- https://github.com/Enalean/tuleap/security/advisories/GHSA-f8jp-hx4q-wxvr
- https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=ff75f2899c60a4546ee2d532e68a3febd07bdd14
- https://tuleap.net/plugins/tracker/?aid=16214