PT-2022-20549 · Tuleap+1 · Tuleap+1
Rossettoy
+1
·
Publicado
2022-08-01
·
Atualizado
2022-08-06
·
CVE-2022-31128
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do Tuleap anteriores à 13.10.99.82
Versões do Tuleap Enterprise Edition anteriores à 13.10-3
Descrição
O Tuleap não verifica adequadamente as permissões ao criar ramificações com a API REST em repositórios Git que utilizam permissões detalhadas. Os usuários podem criar ramificações por meio do endpoint REST
POST git/:id/branches, independentemente das permissões definidas no repositório.Recomendações
Para versões do Tuleap anteriores à 13.10.99.82, atualize para a versão 13.10.99.82 ou posterior.
Para versões do Tuleap Enterprise Edition anteriores à 13.10-3, atualize para a versão 13.10-3 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
POST git/:id/branches até que o problema seja resolvido.Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tuleap
Tuleap Enterprise Edition