PT-2020-20370 · Google · Gerrit
Luca Milanesio
·
Publicado
2020-12-10
·
Atualizado
2022-05-24
·
CVE-2020-8920
CVSS v3.1
3.5
Baixa
| Vetor | AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Gerrit anteriores à 2.14.22
Versões do Gerrit anteriores à 2.15.21
Versões do Gerrit anteriores à 2.16.25
Versões do Gerrit anteriores à 3.0.15
Versões do Gerrit anteriores à 3.1.10
Versões do Gerrit anteriores à 3.2.5
Descrição
Existe uma falha de vazamento de informações em que uma otimização excessiva com o wrapper FilteredRepository ignora a verificação de acesso em repositórios All-Users, permitindo que um invasor obtenha acesso de leitura às informações pessoais de todos os usuários associadas às suas contas.
Recomendações
Para versões anteriores à 2.14.22, atualize para a versão 2.14.22 ou posterior.
Para versões anteriores à 2.15.21, atualize para a versão 2.15.21 ou posterior.
Para versões anteriores à 2.16.25, atualize para a versão 2.16.25 ou posterior.
Para versões anteriores à 3.0.15, atualize para a versão 3.0.15 ou posterior.
Para versões anteriores à 3.1.10, atualize para a versão 3.1.10 ou posterior.
Para versões anteriores à 3.2.5, atualize para a versão 3.2.5 ou posterior.
Correção
Improper Authorization
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gerrit