关键漏洞信息 漏洞概述 Artifact ID: 443704 提交者: Antoine Souteau (antoinesauteau) 提交时间: 2025-07-10 18:02 最后修改时间: 2025-07-21 16:11 漏洞详情 摘要: Artifact disclosure to a mentioned user via email notifications 原始提交: 当用户在工件的评论中被提及时,即使他们没有访问该工件的权限,也会收到电子邮件通知。发送的通知可能包含整个工件的内容,如果字段权限允许的话。 影响: 用户可能会访问到他们无权查看的工件中的机密信息。 CVSS v3.1 评分: 4.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N) 利用方式 1. 在限制访问的跟踪器中创建一个工件。 2. 在此工件中评论并提及一个没有访问权限的用户。 3. 打开与该用户账户关联的邮箱。 参考资料 CVE: 2025-53902 OWASP Broken Access Control 状态 状态: Closed 关闭日期: 2025-07-15 分配给: Antoine Souteau (antoinesauteau) 跟踪记录 公共披露: Thomas Gerbet 提交 CVE 分配: CVE-2025-53902 已分配给此问题 修复提交: Merge commit refs/changes/71/34971/3 at ssh://git.tuleap.net:29418/tuleap into HEAD.