PT-2026-39900 · Mantisbt · Mantisbt
Publicado
2026-05-11
·
Atualizado
2026-05-28
·
CVE-2026-44657
CVSS v4.0
7.5
Alta
| Vetor | AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
MantisBT (versões afetadas não especificadas)
Descrição
Um invasor pode executar código via cross-site scripting (XSS) armazenado ao fazer o upload de um anexo XHTML manipulado que referencia um anexo JavaScript. Isso é feito utilizando o endpoint 'file download.php' com o parâmetro
show inline=1 e um token CSRF file show inline token válido.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mantisbt