关键漏洞信息 漏洞ID: 0036502 CVE编号: CVE-2025-62520 漏洞描述: 能够复制私有项目配置(列) 影响版本: 2.27.2 修复版本: 2.27.2 GitHub安全建议: GHSA-g582-8wv-subtract 修复提交: 4fe94f45 复现步骤 1. 作为管理员,创建一个私有项目和一个或两个公共项目。 2. 导航到 并修改任意列。 3. 创建一个Manager角色。 4. 以Manager角色登录。 5. 导航到 。 6. 打开Burp Suite。 7. 从下拉菜单中选择一个项目并点击“从...复制列”按钮。 8. 这将调用 端点。 9. 修改其他 值并使用私有项目的ID。 10. 提交构建的请求。 11. 观察它复制了来自私有项目的列。 处理流程 报告者: d3vpo01 分配给: atrol 修复提交:由dregad提交,修复了复制列设置时的权限检查问题。 GitHub安全顾问ID: GHSA-g582-8wvr-68h2 附加信息 MantisBT版本: 2.27.1 相关问题: - 0009050: 为“从/到复制列”添加支持,当自定义列以查看问题、打印问题、CSV、Excel等问题时。 - 0036515: 在管理列页的访问级别检查中,配置硬编码的角色,而不是配置。 附件文件 (158,318 bytes) (123,055 bytes) (65,340 bytes) (123,869 bytes) (67,141 bytes) (68,200 bytes) (161,352 bytes) (64,915 bytes) (64,915 bytes) (109,869 bytes) (57,699 bytes) (19,350 bytes)