Множественные уязвимости в Mantis

Дата публикации:
27.12.2005
Всего просмотров:
2566
Опасность:
Средняя
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Mantis 0.х, 1.х

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение, выполнить произвольные SQL команды в базе данных приложения и получить доступ к важным данным.

1. Уязвимость позволяет удаленному пользователю загрузить файлы на систему. Подробности уязвимости не сообщаются. Уязвимости подвержена версия 0.19.3 и возможно более ранние версии.

2. Уязвимость обнаружена при обработке входных данных на странице управления пользователями. Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения. Уязвимость подтверждена в версиях 0.19.3 и 1.0.0rc3.

3. Межсайтовый скриптинг возможен в версиях 0.19.3 и 1.0.0rc3 из-за недостаточной обработки входных данных.

4. HTTP Response Splitting атака возможна из-за недостаточной обработки HTTP заголовков. Удаленный пользователь может выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Уязвимость существует в версиях 0.19.3 и 1.0.0rc3.

5. Частные уязвимости могут быть опубликованы в публичных RSS фидах.

URL производителя: www.mantisbt.org

Решение: Установите последнюю версию (0.19.4 или 1.0.0rc4) с сайта производителя.

Источники:

Ссылки: Mantis Multiple Vulnerabilities

или введите имя

CAPTCHA