关键信息 漏洞ID: 0027039 CVE ID: CVE-2020-25781 摘要: Access to private bug note attachments 描述: 用户可以访问项目的公开问题,但没有权限访问该项目问题的私有bug注释,可以通过直接链接下载私有bug注释附件。 优先级: normal 严重性: minor 可重现性: always 状态: closed 解决状态: fixed 产品版本: 2.23.0 目标版本: 2.24.3 修复版本: 2.24.3 上报者: pljama 分配给: dregad 提交日期: 2020-06-16 05:08 最后更新: 2020-09-25 14:53 重现步骤 1. 创建具有项目公共访问权限并可以下载公共问题/bug注释附件的用户user1。 2. 创建具有任何项目访问权限并可以创建带附件的私有bug注释的用户user2。 3. user1尝试使用直接链接下载由user2创建的私有bug注释附件。 4. user1可以通过文件ID替换来确定可用文件。 相关问题 相关问题0026893: APIs暴露私有附件给有权访问问题但无权访问私有注释的用户。 相关问题0009802: 支持与私有注释关联的附件。 重复问题0027262: 私有文件可被攻击者下载。 相关问题0027299: 在文件API中移除代码重复。 相关问题0026631: 显示给用户的文件_get_visible_attachments显示私有文件。 活动 2020-06-16: 确认漏洞。 2020-09-19: 提交CVE请求并获得CVE编号CVE-2020-25781。 提交补丁并讨论修复方案。 相关代码变更集 实现了检查在bug注释级别查看/下载能力的功能。 防止授权下载附件但不能查看私有bug注释的用户通过 访问私有注释的附件。