PT-2021-3656 · Mantisbt · Mantisbt
Feras Al-Kassar
·
Publicado
2021-06-17
·
Atualizado
2022-05-24
·
CVE-2021-33557
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do MantisBT anteriores à 2.25.2
Descrição
O problema está relacionado à falta de proteção da estrutura da página web no componente manage custom field edit page.php do sistema de rastreamento de bugs MantisBT. Isso permite que um invasor remoto execute ataques de cross-site scripting. A saída não escapada do parâmetro
return permite que um invasor injete código em um campo de entrada oculto.Recomendações
Para versões anteriores à 2.25.2, atualize para a versão 2.25.2 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao componente manage custom field edit page.php até que um patch esteja disponível.
Evite usar o parâmetro
return no componente afetado até que o problema seja resolvido.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mantisbt