CVE-2022-39233

Versões do Tuleap 12.9.99.228 a 14.0.99.23

O problema diz respeito à verificação inadequada de autorizações ao atualizar o prefixo de ramificação usado pela integração do repositório GitLab. Usuários autenticados podem alterar o prefixo de ramificação de qualquer integração de repositório GitLab que possam visualizar por meio do endpoint REST PATCH /gitlab repositories/{id}, uma ação que deveria ser restrita aos administradores do Git.

Para as versões do Tuleap 12.9.99.228 a 14.0.99.23, atualize para o Tuleap Community Edition 14.0.99.24 ou o Tuleap Enterprise Edition 14.0-3 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao endpoint PATCH /gitlab repositories/{id} para permitir que apenas administradores do Git façam alterações.