Vulnerabilidad en las autorizaciones en Tuleap (CVE-2022-31032)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/06/2022
Última modificación:
21/07/2023
Descripción
Tuleap es una suite libre y de código abierto para mejorar la administración de los desarrollos de software y la colaboración. En versiones anteriores a 13.9.99.58, las autorizaciones no son verificadas apropiadamente cuando son creados proyectos o trackers a partir de proyectos marcados como plantillas. Los usuarios pueden acceder a la información de esos proyectos de plantilla porque el modelo de permisos no es aplicado apropiadamente. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* | 13.9.99.111 (excluyendo) | |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 13.8.0 (incluyendo) | 13.8.6 (excluyendo) |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 13.9.0 (incluyendo) | 13.9.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://docs.tuleap.org/administration-guide/users-management/security/site-access.html
- https://github.com/Enalean/tuleap/commit/7e221a9d1893c13407b35008762757a76d8e5654
- https://github.com/Enalean/tuleap/commit/cc38bcc59ce0c733ca915d95daec5f3082fb17ca
- https://github.com/Enalean/tuleap/security/advisories/GHSA-hvx6-4228-whj3
- https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=7e221a9d1893c13407b35008762757a76d8e5654
- https://tuleap.net/plugins/tracker/?aid=26816