CVE-2025-64482 - Tuleap文件发布系统缺失CSRF保护
概述
漏洞描述
Tuleap是一款用于改进软件开发和协作管理的开源套件。Tuleap Community Edition 16.13.99.1762267347之前版本,以及Tuleap Enterprise Edition 17.01-、16.13-6和16.12-9之前版本,在文件发布系统中缺乏跨站请求伪造(CSRF)保护。攻击者可利用此漏洞诱骗受害者修改SVN仓库的提交规则或不可变标签。
已修复版本:
- Tuleap Community Edition 16.13.99.1762267347
- Tuleap Enterprise Edition 17.0-1
- Tuleap Enterprise Edition 16.13-6
- Tuleap Enterprise Edition 16.12-9
漏洞时间线
- 发布日期:2025年11月12日 22:15
- 最后修改:2025年11月12日 22:15
- 远程利用:是
- 来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
评分详情
| 分数 | 版本 | 严重程度 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 4.6 | CVSS 3.1 | 中等 | 2.1 | 2.5 | security-advisories@github.com | |
| 4.6 | CVSS 3.1 | 中等 | 2.1 | 2.5 | MITRE-CVE |
CVSS 3.1基础评分详情
- 基础CVSS分数:4.6
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:低
- 用户交互:需要
- 范围:未更改
- 机密性影响:无
- 完整性影响:低
- 可用性影响:低
解决方案
更新Tuleap到已修复版本以解决跨站请求伪造问题:
- 更新Tuleap Community Edition至版本16.13.99.1762267347
- 更新Tuleap Enterprise Edition至版本17.01
- 更新Tuleap Enterprise Edition至版本16.13-6
- 更新Tuleap Enterprise Edition至版本16.12-9
参考链接
CWE - 通用弱点枚举
CVE-2025-64482与以下CWE相关:
CWE-352:跨站请求伪造(CSRF)
通用攻击模式枚举和分类(CAPEC)
与CVE-2025-64482弱点相关的攻击模式:
- CAPEC-62:跨站请求伪造
- CAPEC-111:JSON劫持(又称JavaScript劫持)
- CAPEC-462:跨域搜索时序
- CAPEC-467:跨站识别
漏洞历史记录
新CVE接收:由security-advisories@github.com于2025年11月12日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Tuleap是用于改进软件开发和协作管理的开源套件… | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L | |
| 添加 | CWE | CWE-352 | |
| 添加 | 参考 | https://github.com/Enalean/tuleap/commit/899b5c1693324211947b72f2810ae8944e1bd0d5 | |
| 添加 | 参考 | https://github.com/Enalean/tuleap/security/advisories/GHSA-w7h4-9vf6-q7rc | |
| 添加 | 参考 | https://tuleap.net/plugins/git/tuleap/tuleap/stable?a=commit&h=899b5c1693324211947b72f2810ae8944e1bd0d5 | |
| 添加 | 参考 | https://tuleap.net/plugins/tracker/?aid=45259 |