Enalean Tuleap扩展实体信息泄露漏洞

CVE编号

CVE-2014-7177

利用情况

暂无

补丁情况

N/A

披露时间

2014-11-01

漏洞描述

Enalean Tuleap是法国Enalean公司的一套开源的软件开发和项目管理工具。该工具提供企业应用程序生命周期管理，以及项目跟踪、源代码管理和团队协作等功能。 Enalean Tuleap 7.2及之前版本中存在信息泄露漏洞。攻击者可利用该漏洞获取敏感信息的访问权限。

解决建议

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：https://www.tuleap.org/about-tuleap/release-notes

参考链接
http://seclists.org/fulldisclosure/2014/Oct/120
http://www.osvdb.org/113680
http://www.securityfocus.com/bid/70771
https://exchange.xforce.ibmcloud.com/vulnerabilities/98308
https://tuleap.net/plugins/git/tuleap/tuleap/stable?p=tuleap%2Fstable.git&a=b...
https://tuleap.net/plugins/tracker/?aid=7458
https://www.portcullis-security.com/security-research-and-downloads/security-...
https://www.tuleap.org/recent-vulnerabilities

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	enalean	tuleap	*		Up to (including) 7.2

CVSS3评分 4.0

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 一次
• 影响范围 N/A
• 用户交互 无
• 可用性 无
• 保密性 部分地
• 完整性 无

AV:N/AC:L/Au:S/C:P/I:N/A:N

CWE-ID	漏洞类型
NVD-CWE-Other

Exp相关链接

• https://www.exploit-db.com/exploits/35099

- avd.aliyun.com