PT-2024-25691 · Mantisbt · Mantisbt
Vboctor
·
Publicado
2024-05-13
·
Atualizado
2025-11-24
·
CVE-2024-34080
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do MantisBT anteriores à 2.26.2
Descrição
A vulnerabilidade afeta o MantisBT, um gerenciador de tarefas de código aberto, no qual uma tarefa que faz referência a uma nota de outra tarefa à qual o usuário não tem acesso é transformada em um hiperlink. Embora clicar no link resulte em um erro de acesso negado, algumas informações permanecem acessíveis por meio do link, do rótulo do link e da dica de ferramenta. Isso pode levar à divulgação da existência da nota, do nome do autor da nota, da data e hora de criação da nota e do ID do problema ao qual a nota pertence.
Recomendações
Para versões anteriores à 2.26.2, atualize para a versão 2.26.2 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a notas com hiperlinks para minimizar o risco de divulgação de informações.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mantisbt