Joris Masson

**Name of the Vulnerable Software and Affected Versions** Tuleap Community Edition versions prior to 17.0.99.1768924735 Tuleap Enterprise Edition versions 17.2-5, 17.1-6, and 17.0-9 **Description** Tuleap lacks CSRF protection in the Overview inconsistent items feature. An attacker could exploit this to trick users into creating artifact links from the release by repairing inconsistent items. The vulnerability allows an attacker to perform actions on behalf of an authenticated user without their knowledge. **Recommendations** Update Tuleap Community Edition to version 17.0.99.1768924735 or later. Update Tuleap Enterprise Edition to version 17.2-5, 17.1-6, or 17.0-9 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Tuleap anteriores à 16.5.99.1742306712 Versões do Tuleap Enterprise Edition anteriores à 16.5-5 e 16.4-8 **Descrição** O problema está relacionado à falta de proteção CSRF na administração da hierarquia de trackers. Um atacante poderia explorar isso para induzir vítimas a enviar ou editar artefatos ou comentários de acompanhamento. **Recomendações** Para versões do Tuleap Community Edition anteriores à 16.5.99.1742306712, atualize para a versão 16.5.99.1742306712 ou posterior. Para versões do Tuleap Enterprise Edition anteriores à 16.5-5, atualize para a versão 16.5-5 ou posterior. Para a versão 16.4 do Tuleap Enterprise Edition, atualize para a versão 16.4-8 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Tuleap anteriores a 16.5.99.1742392651 Versões do Tuleap Enterprise Edition anteriores a 16.5-5 e 16.4-8 **Descrição** O problema refere-se à falta de imposição de permissões de leitura em trackers pais na API REST. Isso afeta o gerenciamento de desenvolvimentos de software e a colaboração. **Recomendações** Para versões do Tuleap Community Edition anteriores a 16.5.99.1742392651, atualize para a versão 16.5.99.1742392651 ou posterior. Para versões do Tuleap Enterprise Edition anteriores a 16.5-5, atualize para a versão 16.5-5 ou posterior. Para versões do Tuleap Enterprise Edition anteriores a 16.4-8, atualize para a versão 16.4-8 ou posterior. Como medida temporária, considere restringir o acesso à API REST até que um patch seja aplicado.