PT-2026-39890 · Git+2 · Mantisbt+1
Publicado
2026-05-11
·
Atualizado
2026-05-28
·
CVE-2026-42070
CVSS v4.0
5.3
Média
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Mantis Bug Tracker (MantisBT) versões anteriores a 2.28.2
Description
A função
mc issue update() permite que usuários com acesso update bug threshold (UPDATER) editem, alterem o estado de visualização e modifiquem o rastreamento de tempo em notas de bugs pertencentes a outros usuários. Isso ignora o limite padrão de DEVELOPER (nível 55) exigido pela função mc issue note update(). Consequentemente, um UPDATER pode editar notas criadas por um DEVELOPER, MANAGER ou ADMIN, e pode alterar notas privadas para públicas, expondo discussões internas confidenciais, ou alterar notas públicas para privadas, ocultando informações de relatores e visualizadores.Recommendations
Atualize para a versão 2.28.2.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mantisbt
Mantisbt/Mantisbt