ID CVE-2014-7177
Summary XML External Entity vulnerability in Enalean Tuleap 7.2 and earlier allows remote authenticated users to read arbitrary files via a crafted xml document in a create action to plugins/tracker/. <a href="http://cwe.mitre.org/data/definitions/611.html" target="_blank">CWE-611: Improper Restriction of XML External Entity Reference ('XXE')</a>
References
Vulnerable Configurations
  • cpe:2.3:a:enalean:tuleap:4.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.12:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.12:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.13:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.13:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.14:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.14:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.15:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.15:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.16:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.16:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.17:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.17:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.17.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.17.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.17.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.17.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.18:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.18:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.18.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.18.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.18.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.18.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.19:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.19:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.19.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.19.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.19.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.19.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.20:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.20:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.21:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.21:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.22:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.22:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.23:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.23:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.24:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.24:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.24.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.24.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.25:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.25:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.26:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.26:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.26.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.26.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.28:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.28:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.28.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.28.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.8:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.8:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.12:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.12:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.8:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.8:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.11-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.11-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.11-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.11-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.12:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.12:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.12-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.12-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.0-1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.0-1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.1-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.1-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.2:*:*:*:*:*:*:*
CVSS
Base: 4.0 (as of 08-09-2017 - 01:29)
Impact:
Exploitability:
CWE NVD-CWE-Other
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL NONE NONE
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:N/A:N
refmap via4
bid 70771
confirm
fulldisc 20141028 CVE-2014-7177 - External XML Entity Injection in Enalean Tuleap
misc https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-7177/
osvdb 113680
xf tuleap-cve20147177-info-disc(98308)
Last major update 08-09-2017 - 01:29
Published 31-10-2014 - 14:55
Last modified 08-09-2017 - 01:29
Back to Top