Несколько уявимостей в Bugzilla

В программе обнаружено несколько уязвимостей:

1. Особенность 'usebuggroups' в Bugzilla позволяет сайтам прослеживать ошибки для каждого продукта, и позволяет администраторам ограничивать доступ к ошибкам по каждому продукту отдельно. Когда новая программа добавляется к сайту, который имеет много групп ошибок, группа будет создана с дополнительным набором привилегий. Любые новые пользователи, которые добавляются к этой группе, автоматически получат доступ к другим привилегиям группы.
2. Bugzilla уязвима к внедрению SQL кода. Уязвимость связанна с недостаточной фильтрацией апострофов (') в адресах электронной почты в процессе создания учетной зиписи. Нападающий может изменить логику SQL запросов, потенциально приводящих к раскрытию чувствительной информации или искажению базы данных. Уязвимость обнаружена в Bugzilla 2.14-2.16
3. При определенных обстоятельствах, возможно выполнить произвольный код на Bugzilla сервере. Пользователь может внедрить злонамеренные записи в базу данных Bugzilla, которые будут обработаны сценарием bugzilla_email_append.pl. Злонамеренно отформатированные данные к этому сценарию позволяют выполнение произвольных команд.