关键漏洞信息 漏洞详情 CVE-2012-4730: - 影响版本: 所有版本的RT - 漏洞类型: 电子邮件头部注入攻击 - 影响描述: 用户通过ModifySelf或AdminUser可以添加任意头部或内容到外发邮件,可能导致信息泄露或网络钓鱼。 CVE-2012-4731: - 影响版本: RT 4.0.0及以上, RTFM 2.0.0及以上 - 漏洞类型: 权限检查缺失 - 影响描述: 任何特权用户可以在任何类中创建文章。 CVE-2012-4732: - 影响版本: 启用CSRF保护的RT所有版本(RT 3.8.12及以上,RT 4.0.6及以上)。 - 漏洞类型: CSRF漏洞 - 影响描述: 错误允许CSRF请求切换票证书签。 CVE-2012-4734: - 影响版本: RT所有版本 - 漏洞类型: 混淆副手攻击 - 影响描述: 未登录用户受到恶意链接攻击,提供凭证后,攻击者可能修改任意状态。 CVE-2012-4735: - 影响版本: RT 3.8.0及以上 - 漏洞类型: GnuPG签名和加密消息的安全性不当 - 影响描述: 自动生成的消息可能不再提供真实性保证。 CVE-2012-4884: - 影响版本: RT 3.8.0及以上並且启用GnuPG - 漏洞类型: 用户可以通过命令行GnuPG客户端传递任意参数 - 影响描述: 可以利用此漏洞以Web服务器的权限创建任意文件。 解决方案 发布 RT 3.8.15 和 RT 4.0.8 解决这些问题,其中还包括 RTFM 2.4.5 作为补丁版本。 提供了与所有3.8.x和4.0.x版本对应的补丁包下载链接。 对于RT 3.6.x,已达到生命终点,不再提供补丁支持。