Vulnerabilidad en Tuleap (CVE-2022-31128)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/08/2022
Última modificación:
06/08/2022
Descripción
Tuleap es una suite libre y de código abierto para mejorar la administración de los desarrollos de software y la colaboración. En las versiones afectadas, Tuleap no verifica correctamente los permisos cuando son creadas ramas con la API REST en repositorios Git usando los permisos de grano fino. Los usuarios pueden crear ramas por medio del endpoint REST "POST git/:id/branches" independientemente de los permisos establecidos en el repositorio. Este problema ha sido corregido en la versión 13.10.99.82 de Tuleap Community Edition, así como en la versión 13.10-3 de Tuleap Enterprise Edition. Es recomendado a usuarios actualizar. No se presentan mitigaciones conocidas para este problema
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* | 13.9.9.110 (incluyendo) | 13.10.99.82 (excluyendo) |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 13.10 (incluyendo) | 13.10-3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Enalean/tuleap/commit/58ecb1dee1c46075d3e089980301ebfbe0bafd33
- https://github.com/Enalean/tuleap/security/advisories/GHSA-2p49-vgcx-5w79
- https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=58ecb1dee1c46075d3e089980301ebfbe0bafd33
- https://tuleap.net/plugins/tracker/?aid=27538