Vulnerabilidad en Tuleap (CVE-2022-39233)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/10/2022
Última modificación:
14/07/2023
Descripción
Tuleap es una suite libre y de código abierto para mejorar la administración de los desarrollos de software y la colaboración. En versiones 12.9.99.228 y superiores, anteriores a 14.0.99.24, las autorizaciones no son verificadas apropiadamente cuando es actualizado el prefijo de la rama usado por la integración del repositorio GitLab. Los usuarios autenticados pueden cambiar el prefijo de rama de cualquiera de las integraciones de repositorios de GitLab que pueden visualizar mediante el endpoint REST "PATCH /gitlab_repositories/{id}". Esta acción debería estar restringida a administradores de Git. Este problema está parcheado en Tuleap Community Edition versión 4.0.99.24 y Tuleap Enterprise Edition versión 14.0-3. No son conocidas mitigaciones
Impacto
Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enalean:tuleap:*:*:*:*:community:*:*:* | 12.9.99.228 (incluyendo) | 14.0.99.24 (excluyendo) |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 12.10 (incluyendo) | 13.12-6 (excluyendo) |
| cpe:2.3:a:enalean:tuleap:*:*:*:*:enterprise:*:*:* | 14.0 (incluyendo) | 14.0-3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Enalean/tuleap/commit/a06cb42d55c840d61a484472ed6b169ab23853ac
- https://github.com/Enalean/tuleap/security/advisories/GHSA-3884-972x-3ccq
- https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=a06cb42d55c840d61a484472ed6b169ab23853ac
- https://tuleap.net/plugins/tracker/?aid=28848