Несколько уявимостей в Bugzilla

Дата публикации:
04.10.2002
Всего просмотров:
810
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Bugzilla – система отслеживания ошибок для UNIX и Windows систем.

В программе обнаружено несколько уязвимостей:

  1. Особенность 'usebuggroups' в Bugzilla позволяет сайтам прослеживать ошибки для каждого продукта, и позволяет администраторам ограничивать доступ к ошибкам по каждому продукту отдельно. Когда новая программа добавляется к сайту, который имеет много групп ошибок, группа будет создана с дополнительным набором привилегий. Любые новые пользователи, которые добавляются к этой группе, автоматически получат доступ к другим привилегиям группы.
  2. Bugzilla уязвима к внедрению SQL кода. Уязвимость связанна с недостаточной фильтрацией апострофов (') в адресах электронной почты в процессе создания учетной зиписи. Нападающий может изменить логику SQL запросов, потенциально приводящих к раскрытию чувствительной информации или искажению базы данных. Уязвимость обнаружена в Bugzilla 2.14-2.16
  3. При определенных обстоятельствах, возможно выполнить произвольный код на Bugzilla сервере. Пользователь может внедрить злонамеренные записи в базу данных Bugzilla, которые будут обработаны сценарием bugzilla_email_append.pl. Злонамеренно отформатированные данные к этому сценарию позволяют выполнение произвольных команд.
Уязвимость обнаружена в Bugzilla 2.14-2.16

Ссылки: [BUGZILLA] Security Advisory
или введите имя

CAPTCHA