PT-2022-16014 · Tuleap+1 · Tuleap+1
Robert Vogel
+1
·
Publicado
2022-12-13
·
Atualizado
2022-12-15
·
CVE-2022-23473
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Tuleap anteriores à 14.2.99.148
Tuleap Community Edition versão 14.2.99.148
Tuleap Enterprise Edition versão 14.2-5
Tuleap Enterprise Edition versão 14.1-6
Descrição
O Tuleap é um pacote de código aberto destinado a melhorar a gestão do desenvolvimento de software e a colaboração. Nas versões anteriores à 14.2.99.148, as autorizações não são verificadas corretamente ao acessar recursos autônomos do MediaWiki. Usuários com permissões de leitura exclusiva para páginas também podem editá-las. Isso afeta apenas o plugin autônomo do MediaWiki.
Recomendações
Para versões anteriores à 14.2.99.148, atualize para o Tuleap Community Edition 14.2.99.148, o Tuleap Enterprise Edition 14.2-5 ou o Tuleap Enterprise Edition 14.1-6 para resolver o problema.
Como solução temporária, considere restringir o acesso ao plugin MediaWiki standalone até que um patch esteja disponível.
Evite confiar exclusivamente em permissões de leitura para páginas nas versões afetadas, pois os usuários ainda podem ser capazes de editá-las.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mediawiki
Tuleap