1. CVE-Search
  2. CVE-2017-7411
ID CVE-2017-7411
Summary An issue was discovered in Enalean Tuleap 9.6 and prior versions. The vulnerability exists because the User::getRecentElements() method is using the unserialize() function with a preference value that can be arbitrarily manipulated by malicious users through the REST API interface, and this can be exploited to inject arbitrary PHP objects into the application scope, allowing an attacker to perform a variety of attacks (including but not limited to Remote Code Execution).
References
Vulnerable Configurations
  • cpe:2.3:a:enalean:tuleap:4.0.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.10:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.10:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.12:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.12:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.13:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.13:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.14:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.14:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.15:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.15:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.16:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.16:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.17:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.17:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.17.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.17.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.17.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.17.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.18:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.18:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.18.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.18.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.18.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.18.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.19:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.19:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.19.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.19.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.19.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.19.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.20:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.20:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.21:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.21:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.22:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.22:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.23:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.23:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.24:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.24:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.24.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.24.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.25:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.25:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.26:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.26:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.26.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.26.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.27.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.27.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.28:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.28:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:4.0.28.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:4.0.28.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.0.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.0.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.1.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.1.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.3.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.3.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.4.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.4.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.6.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.6.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.8:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.8:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.9.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:5.12:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:5.12:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.8:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.8:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.10-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.10-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.11-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.11-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.11-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.11-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.12:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.12:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:6.12-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:6.12-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.0-1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.0-1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.1-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.1-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.2-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.2-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.3-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.3-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.4-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.4-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.4-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.4-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.4-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.4-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.5-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.5-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.5-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.5-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.5-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.5-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.5-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.5-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.5.99.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.5.99.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.5.99.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.5.99.6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.6-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.6-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.6-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.6-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.6-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.6-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.7-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.7-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.7-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.7-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.7-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.7-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.8:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.8:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.8-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.8-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.9-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.9-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.9-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.9-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.9-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.9-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.9-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.9-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.9-6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.9-6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.10:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.10:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.10-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.10-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.10-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.10-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.10-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.10-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.10-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.10-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.11-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.11-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.11-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.11-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.11-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.11-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:7.66-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:7.66-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.0-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.0-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.0-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.0-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.0-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.0-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.1-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.1-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.1-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.1-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.1-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.1-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.2-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.2-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.2-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.2-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.2-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.2-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.2-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.2-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.2-6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.2-6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.3-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.3-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.3-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.3-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.3-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.3-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.4-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.4-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.4-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.4-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.4-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.4-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.5-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.5-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.5-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.5-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.5-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.5-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.6-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.6-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.6-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.6-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.6-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.6-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.6-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.6-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.6-6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.6-6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.7-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.7-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.7-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.7-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.7-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.7-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.7-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.7-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.7-6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.7-6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.8:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.8:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.8-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.8-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.8-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.8-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.8-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.8-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.8-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.8-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.8-6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.8-6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.9:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.9:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.9-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.9-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.9-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.9-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.9-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.9-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.10:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.10:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.10-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.10-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.10-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.10-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.10-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.10-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.11:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.11:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.11-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.11-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.11-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.11-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.11-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.11-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.12:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.12:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.12-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.12-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.12-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.12-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.12-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.12-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.12-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.12-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.13:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.13:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.13-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.13-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.13-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.13-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.13-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.13-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.13-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.13-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.14:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.14:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.14-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.14-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.14-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.14-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.14-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.14-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.15:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.15:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.15-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.15-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.15-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.15-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.15-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.15-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.16:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.16:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.16-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.16-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.16-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.16-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.16-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.16-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.16-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.16-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.16-6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.16-6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.16-7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.16-7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.17:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.17:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.17-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.17-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.17-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.17-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.17-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.17-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18-6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18-6:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18-7:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18-7:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.18-8:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.18-8:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.19:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.19:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.19-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.19-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.19-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.19-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.19-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.19-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:8.19-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:8.19-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.0:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.0:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.0-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.0-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.0-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.0-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.0-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.0-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.1:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.1:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.1-2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.1-2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.1-3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.1-3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.1-4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.1-4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.1-5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.1-5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.2:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.2:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.3:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.3:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.4:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.4:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.5:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.5:*:*:*:*:*:*:*
  • cpe:2.3:a:enalean:tuleap:9.6:*:*:*:*:*:*:*
    cpe:2.3:a:enalean:tuleap:9.6:*:*:*:*:*:*:*
CVSS
Base: 6.5 (as of 27-12-2017 - 17:08)
Impact:
Exploitability:
CWE CWE-94
CAPEC
  • Code Injection
    An adversary exploits a weakness in input validation on the target to inject new code into that which is currently executing. This differs from code inclusion in that code inclusion involves the addition or replacement of a reference to a code file, which is subsequently loaded by the target and used as part of the code of some application.
  • Leverage Executable Code in Non-Executable Files
    An attack of this type exploits a system's trust in configuration and resource files. When the executable loads the resource (such as an image file or configuration file) the attacker has modified the file to either execute malicious code directly or manipulate the target process (e.g. application server) to execute based on the malicious configuration parameters. Since systems are increasingly interrelated mashing up resources from local and remote sources the possibility of this attack occurring is high.
  • Manipulating User-Controlled Variables
    This attack targets user controlled variables (DEBUG=1, PHP Globals, and So Forth). An attacker can override environment variables leveraging user-supplied, untrusted query variables directly used on the application server without any data sanitization. In extreme cases, the attacker can change variables controlling the business logic of the application. For instance, in languages like PHP, a number of poorly set default configurations may allow the user to override variables.
Access
VectorComplexityAuthentication
NETWORK LOW SINGLE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL PARTIAL
cvss-vector via4 AV:N/AC:L/Au:S/C:P/I:P/A:P
refmap via4
confirm https://tuleap.net/plugins/tracker/?aid=10118
exploit-db 43374
fulldisc 20171023 [KIS-2017-02] Tuleap <= 9.6 Second-Order PHP Object Injection Vulnerability
misc
mlist [oss-security] 20171023 [KIS-2017-02] Tuleap <= 9.6 Second-Order PHP Object Injection Vulnerability
Last major update 27-12-2017 - 17:08
Published 30-10-2017 - 14:29
Last modified 27-12-2017 - 17:08
Back to Top