PT-2026-39899 · Git+2 · Mantisbt+1

Publicado

2026-05-11

·

Atualizado

2026-05-28

·

CVE-2026-44655

CVSS v4.0

8.6

Alta

VetorAV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Nome do Software Vulnerável e Versões Afetadas Mantis Bug Tracker (MantisBT) versões 1.3.0 a 2.28.1
Description Existe um problema onde um Nome de Projeto não escapado permite que um invasor com níveis de acesso de gerente ou administrador injete HTML na página de administração Move Attachments. Isso leva ao Cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. O impacto é mitigado por uma Política de Segurança de Conteúdo (Content Security Policy), que restringe a execução de scripts.
Recommendations Atualizar para a versão 2.28.2.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44655
GHSA-7MQJ-8GJ2-CG59

Produtos afetados

Mantisbt
Mantisbt/Mantisbt