CVE-2022-44030
https://notcve.org/view.php?id=CVE-2022-44030
Redmine 5.x before 5.0.4 allows downloading of file attachments of any Issue or any Wiki page due to insufficient permission checks. Depending on the configuration, this may require login as a registered user. Redmine 5.x anterior a 5.0.4 permite la descarga de archivos adjuntos de cualquier problema o página Wiki debido a comprobaciones de permisos insuficientes. Dependiendo de la configuración, esto puede requerir iniciar sesión como usuario registrado. • https://www.redmine.org/news/139 https://www.redmine.org/projects/redmine/wiki/Security_Advisories • CWE-755: Improper Handling of Exceptional Conditions •
CVE-2021-42326
https://notcve.org/view.php?id=CVE-2021-42326
Redmine before 4.1.5 and 4.2.x before 4.2.3 may disclose the names of users on activity views due to an insufficient access filter. Redmine versiones anteriores a 4.1.5 y versiones 4.2.x anteriores a 4.2.3, pueden revelar los nombres de usuarios en las vistas de actividad debido a un filtro de acceso insuficiente • https://lists.debian.org/debian-lts-announce/2021/10/msg00013.html https://www.redmine.org/news/133 https://www.redmine.org/projects/redmine/wiki/Changelog_4_1#415-2021-10-10 https://www.redmine.org/projects/redmine/wiki/Changelog_4_2#423-2021-10-10 https://www.redmine.org/projects/redmine/wiki/Security_Advisories •
CVE-2021-37156
https://notcve.org/view.php?id=CVE-2021-37156
Redmine 4.2.0 and 4.2.1 allow existing user sessions to continue upon enabling two-factor authentication for the user's account, but the intended behavior is for those sessions to be terminated. Redmine versiones 4.2.0 y 4.2.1, permiten a las sesiones de usuario existentes continuar al habilitar la autenticación de dos factores para la cuenta del usuario, pero el comportamiento previsto es que esas sesiones se terminen • https://www.redmine.org/news/132 https://www.redmine.org/projects/redmine/wiki/Security_Advisories • CWE-613: Insufficient Session Expiration •
CVE-2021-31863
https://notcve.org/view.php?id=CVE-2021-31863
Insufficient input validation in the Git repository integration of Redmine before 4.0.9, 4.1.x before 4.1.3, and 4.2.x before 4.2.1 allows Redmine users to read arbitrary local files accessible by the application server process. Una comprobación insuficiente de entrada en la integración del repositorio Git de Redmine versiones anteriores a 4.0.9, versiones 4.1.x anteriores a 4.1.3 y versiones 4.2.x anteriores a 4.2.1, permite a usuarios de Redmine leer archivos locales arbitrarios accesibles por el proceso del servidor de aplicaciones • https://lists.debian.org/debian-lts-announce/2021/05/msg00013.html https://www.redmine.org/news/131 https://www.redmine.org/projects/redmine/wiki/Security_Advisories • CWE-20: Improper Input Validation •
CVE-2021-31864
https://notcve.org/view.php?id=CVE-2021-31864
Redmine before 4.0.9, 4.1.x before 4.1.3, and 4.2.x before 4.2.1 allows attackers to bypass the add_issue_notes permission requirement by leveraging the incoming mail handler. Redmine versiones anteriores a 4.0.9, versiones 4.1.x anteriores a 4.1.3 y versiones 4.2.x anteriores a 4.2.1, permite a atacantes omitir el requisito de permiso de la función add_issue_notes al aprovechar el controlador de correo entrante • https://lists.debian.org/debian-lts-announce/2021/05/msg00013.html https://www.redmine.org/news/131 https://www.redmine.org/projects/redmine/wiki/Security_Advisories •