Összefoglaló
Egy sérülékenységet jelentettek a MantisBT-ben, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos támadást hajthatnak végre.
Leírás
Egy sérülékenységet jelentettek a MantisBT-ben, amelyet kihasználva a rosszindulatú felhasználók script beszúrásos támadást hajthatnak végre.
Az adatok bevitele a projekt neveken keresztül az account_sponsor_page.php-be nem megfelelően elkészített használata előtt. Ezt kihasználva tetszőleges HTML kódot és scriptet lehet beszúrni, amely a felhasználó böngészőjében végrehajtódik az érintett oldallal kapcsolatban amikor a rosszindulatú adat megnyitásra kerül.
A sérülékenység kihasználásáához “Manager” jogosultságok szükségesek.
A sérülékenységet az 1.2.15-ös verzióban jelentették de más verziók is érintettek lehetnek.
A gyártó jelentette be a sérülékenységet.
Megoldás
Frissítsen a legújabb verzióraMegoldás
A GIT gyűjteményben a javított változat van.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)