漏洞关键信息 漏洞概况 ID: 0036005 CVE: CVE-2025-55155 项目: mantisbt 类别: security 视图状态: public 提交日期: 2025-05-24 11:40 最后更新: 2025-11-03 04:05 漏洞详情 报告者: ncrcs 分配给: dregad 优先级: normal 严重性: minor 状态: closed 可复现性: always 解决方案: fixed 修复版本: 2.27.2 目标版本: 2.27.2 漏洞描述 用户在更改电子邮件地址时,新的电子邮件地址在更改之前未进行验证,这可能导致严重后果。 复现步骤 1. 尝试使用一个电子邮件创建新账户,您将收到一封验证电子邮件。 2. 登录账户并更改电子邮件,可以看到更改成功,但未进行任何验证。 附加信息 报告者希望得到此发现的署名,名称为 Chaitanya Reddy。 相关更改集 : 新的 函数,删除代码重复。 : 新函数 ,独立执行验证。 : 在用户更改后验证电子邮件地址,使用令牌存储新地址并发送确认邮件。 : 管理员更新后删除挂起的电子邮件。 : 显示挂起的电子邮件验证信息。 等等。 时间线 发现日期: 2025-05-24 漏洞确认: 2025-05-25 修复确认: 2025-10-26