PT-2021-23947 · Unknown+2 · Tuleap Community Edition+3
Tgerbet
+1
·
Publicado
2021-12-15
·
Atualizado
2021-12-21
·
CVE-2021-43806
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Tuleap anteriores à 13.2.99.155
Versões do Tuleap Enterprise Edition anteriores à 13.1-7
Versões do Tuleap Enterprise Edition anteriores à 13.2-6
Descrição:
O problema decorre da sanitização inadequada das configurações do usuário ao construir consultas SQL para navegar e pesquisar commits em repositórios CVS. Isso permite que um usuário mal-intencionado autenticado, com acesso de leitura a um repositório CVS, execute consultas SQL arbitrárias. Instâncias do Tuleap sem um repositório CVS ativo não são afetadas.
Recomendações:
Para versões do Tuleap Community Edition anteriores à 13.2.99.155, atualize para a versão 13.2.99.155 ou posterior.
Para versões do Tuleap Enterprise Edition anteriores à 13.1-7, atualize para a versão 13.1-7 ou posterior.
Para versões do Tuleap Enterprise Edition anteriores à 13.2-6, atualize para a versão 13.2-6 ou posterior.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cvs
Tuleap
Tuleap Community Edition
Tuleap Enterprise Edition