Множественные уязвимости в Mantis

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, выполнить произвольные SQL команды в базе данных приложения и получить доступ к важным данным.

1. Уязвимость позволяет удаленному пользователю загрузить файлы на систему. Подробности уязвимости не сообщаются. Уязвимости подвержена версия 0.19.3 и возможно более ранние версии.

2. Уязвимость обнаружена при обработке входных данных на странице управления пользователями. Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения. Уязвимость подтверждена в версиях 0.19.3 и 1.0.0rc3.

3. Межсайтовый скриптинг возможен в версиях 0.19.3 и 1.0.0rc3 из-за недостаточной обработки входных данных.

4. HTTP Response Splitting атака возможна из-за недостаточной обработки HTTP заголовков. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Уязвимость существует в версиях 0.19.3 и 1.0.0rc3.

5. Частные уязвимости могут быть опубликованы в публичных RSS фидах.

URL производителя: www.mantisbt.org

Решение: Установите последнюю версию (0.19.4 или 1.0.0rc4) с сайта производителя.

Источники: