CVE-2025-65962CVE-2025-65962是Tuleap项目管理平台中的一个跨站请求伪造(CSRF)漏洞。该漏洞存在于Tuleap的跟踪器(Tracker)功能模块中,具体影响跟踪器字段依赖关系的CSRF保护机制。攻击者可以利用此漏洞通过构造恶意链接,诱使已登录用户在不知情的情况下修改跟踪器字段配置。由于Tuleap被广泛应用于软件开发和协作管理场景,此漏洞可能影响多个项目的数据完整性和工作流程配置。漏洞影响Tuleap Community Edition 17.0.99.1763803709之前版本以及Tuleap Enterprise Edition 17.0-4和16.13-9之前的版本。
该CSRF漏洞存在于Tuleap跟踪器的字段依赖功能中。攻击者可以构造一个恶意HTML页面或链接,包含自动提交的表单,该表单模拟用户对跟踪器字段依赖关系的修改请求。由于Tuleap在处理跟踪器字段依赖配置时缺少适当的CSRF令牌验证,攻击者可以利用已登录用户的会话执行未授权的操作。攻击者通常会诱骗目标用户访问恶意页面或点击包含自动提交表单的链接。一旦用户触发请求,浏览器会自动携带用户的有效会话cookie向Tuleap服务器发送请求,从而在用户不知情的情况下修改跟踪器的字段依赖配置,影响项目的跟踪器设置和数据管理流程。