PT-2020-20404 · Mantisbt · Mantisbt Source Integration Plugin
Dregado
·
Publicado
2020-02-13
·
Atualizado
2020-02-19
·
CVE-2020-8981
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do plugin MantisBT Source Integration anteriores à 1.6.2
Versões 2.x do plugin MantisBT Source Integration anteriores à 2.3.1
Descrição
Foi encontrada uma vulnerabilidade de cross-site scripting (XSS), permitindo a execução de código arbitrário por meio de um
nome do repositório na página repo delete.php (Excluir Repositório), desde que as configurações da Política de Segurança de Conteúdo (CSP) permitam isso.Recomendações
Para versões anteriores à 1.6.2, atualize para a versão 1.6.2 ou posterior.
Para versões 2.x anteriores à 2.3.1, atualize para a versão 2.3.1 ou posterior.
Como solução temporária, considere restringir o acesso à página repo delete.php até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mantisbt Source Integration Plugin