PT-2020-6943 · Redmine · Redmine
Publicado
2020-08-12
·
Atualizado
2024-03-06
·
CVE-2021-30164
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Redmine anteriores à 4.0.8
Versões do Redmine 4.1.x anteriores à 4.1.2
Descrição
O problema está relacionado a erros no gerenciamento de permissões no aplicativo web de gerenciamento de projetos e tarefas do Redmine. A exploração dessa vulnerabilidade permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. A vulnerabilidade pode ser explorada utilizando a API Issues para contornar a exigência de permissão add issue notes.
Recomendações
Para versões do Redmine anteriores à 4.0.8, atualize para a versão 4.0.8 ou posterior.
Para versões do Redmine 4.1.x anteriores à 4.1.2, atualize para a versão 4.1.2 ou posterior.
Como solução temporária, considere restringir o acesso à API Issues até que um patch esteja disponível.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Redmine