Security Lab

Межсайтовый скриптинг в Mantis

Дата публикации:26.08.2004
Всего просмотров:2218
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2004-1730
CVE-2004-1731
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: MantisBT 0.x
Уязвимые версии: Mantis 0.19.0a2

Описание: Несколько уязвимостей в Mantis позволяют удаленному пользователю выполнить XSS нападение:

http://[target]/view_all_set.php?type=1&reporter_id=5031&hide_status=80<s cript>alert('hi')</script
Также уязвим параметр variable в login_page.php, параметр email в 'signup.php' и 'signup_page.php' и поле 'ref' в 'login_select_proj_page.php'.

URL производителя:http://mantis.sourceforge.net/

Решение:Установите обновление доступное через CVS: http://www.mantisbt.org/cvs.php

Ссылки: Multiple Vulnerabilities in Mantis Bugtracker