Vboctor

**Nome do software vulnerável e versões afetadas** Versões do MantisBT anteriores à 2.26.2 **Descrição** A vulnerabilidade afeta o MantisBT, um gerenciador de tarefas de código aberto, no qual uma tarefa que faz referência a uma nota de outra tarefa à qual o usuário não tem acesso é transformada em um hiperlink. Embora clicar no link resulte em um erro de acesso negado, algumas informações permanecem acessíveis por meio do link, do rótulo do link e da dica de ferramenta. Isso pode levar à divulgação da existência da nota, do nome do autor da nota, da data e hora de criação da nota e do ID do problema ao qual a nota pertence. **Recomendações** Para versões anteriores à 2.26.2, atualize para a versão 2.26.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a notas com hiperlinks para minimizar o risco de divulgação de informações.

**Name of the Vulnerable Software and Affected Versions** MantisBT versions prior to 2.1.1 **Description** A cross-site scripting (XSS) issue exists due to insufficient protection of the web page structure. This allows a remote attacker to inject arbitrary HTML or JavaScript code by modifying the `window title` in the application configuration, which requires administrator access rights or alteration of the system configuration file (config inc.php). **Recommendations** For versions prior to 2.1.1, update to version 2.1.1 or later to resolve the issue. As a temporary workaround, consider restricting access to the MantisBT configuration management pages to prevent unauthorized modifications to the `window title` setting.