漏洞标题
N/A
漏洞描述信息
在 Bugzilla 2.14.x 之前版本(2.14.5 前)的数据采集脚本,2.16.x 之前版本(2.16.2 前)的数据采集脚本,以及 2.17.x 之前版本(2.17.3 前)的数据采集脚本,在运行过程中为数据/ mining 目录设置了可 world 修改权限,这允许本地用户修改或删除数据。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The data collection script for Bugzilla 2.14.x before 2.14.5, 2.16.x before 2.16.2, and 2.17.x before 2.17.3 sets world-writable permissions for the data/mining directory when it runs, which allows local users to modify or delete the data.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Bugzilla Data/Mining目录权限不安全漏洞
漏洞描述信息
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。 Bugzilla提供的数据收集脚本不正确设置data/mining目录权限,本地攻击者可以利用这个漏洞更改或删除收集的数据。 数据收集脚本以cron作业方式工作,每次起运行的时候会更改data/mining目录为全局可写,利用这段时间本地用户可以更改data/mining目录中的任意收集数据。
CVSS信息
N/A
漏洞类别
配置错误