CVE-2020-29605

**Nome do software vulnerável e versões afetadas:

Versões do MantisBT anteriores à 2.24.4

Descrição:

Foi detectada uma falha devido a verificações insuficientes do nível de acesso, permitindo que qualquer usuário conectado com permissão para realizar Ações de Grupo acesse os campos de resumo de Issues privadas por meio de bug arr[] em uma URL bug actiongroup page.php manipulada. Os Issues alvo podem ter o status de visualização Privada ou pertencer a um Projeto privado.

Recomendações:

Para versões anteriores à 2.24.4, atualize para a versão 2.24.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à URL bug actiongroup page.php ou limitar a capacidade de realizar Ações de Grupo a usuários confiáveis até que um patch seja aplicado.