PT-2026-39899 · Git+2 · Mantisbt+1
Publicado
2026-05-11
·
Atualizado
2026-05-28
·
CVE-2026-44655
CVSS v4.0
8.6
Alta
| Vetor | AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Mantis Bug Tracker (MantisBT) versões 1.3.0 a 2.28.1
Description
Existe um problema onde um Nome de Projeto não escapado permite que um invasor com níveis de acesso de gerente ou administrador injete HTML na página de administração Move Attachments. Isso leva ao Cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. O impacto é mitigado por uma Política de Segurança de Conteúdo (Content Security Policy), que restringe a execução de scripts.
Recommendations
Atualizar para a versão 2.28.2.
Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mantisbt
Mantisbt/Mantisbt