PT-2026-39890 · Git+2 · Mantisbt+1

Publicado

2026-05-11

·

Atualizado

2026-05-28

·

CVE-2026-42070

CVSS v4.0

5.3

Média

VetorAV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Mantis Bug Tracker (MantisBT) versões anteriores a 2.28.2
Description A função mc issue update() permite que usuários com acesso update bug threshold (UPDATER) editem, alterem o estado de visualização e modifiquem o rastreamento de tempo em notas de bugs pertencentes a outros usuários. Isso ignora o limite padrão de DEVELOPER (nível 55) exigido pela função mc issue note update(). Consequentemente, um UPDATER pode editar notas criadas por um DEVELOPER, MANAGER ou ADMIN, e pode alterar notas privadas para públicas, expondo discussões internas confidenciais, ou alterar notas públicas para privadas, ocultando informações de relatores e visualizadores.
Recommendations Atualize para a versão 2.28.2.

Exploit

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-42070
GHSA-PQ86-J2C2-47F6

Produtos afetados

Mantisbt
Mantisbt/Mantisbt