Несанкционированный доступ к ограниченным отчетам об ошибках в Mantis

Дата публикации:
22.08.2002
Всего просмотров:
652
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Mantis (http://mantisbt.sourceforge.net/index.php3) – Web приложение слежения за ошибками (bug tracking), разработанная в PHP + MySQL.

Обнаруженная уязвимость позволяет пользователю получить несанкционированный доступ к ограниченным отчетам об ошибках. Mantis содержит опцию limit_reporters, которая позволяет пользователям просматривать только те ошибки, о которых они сообщили. Однако эти ограничения не распространяются на сценарий 'print_all_bug_page.php', который формирует результаты ошибки для печати. Уязвимость позволяет авторизованным пользователям просмотреть результаты для всех ошибок.

Уязвимость обнаружена в Mantis 0.16- 0.17.3

Ссылки: [Mantis Advisory/2002-02] Limiting output to reporters can be bypassed

или введите имя

CAPTCHA