漏洞标题
N/A
漏洞描述信息
在Bugzilla 2.16.3及更早版本中的收集stats.pl文件中的SQL注入漏洞允许具有编辑产品权限的远程登录用户通过产品名称执行任意SQL。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
SQL injection vulnerability in collectstats.pl for Bugzilla 2.16.3 and earlier allows remote authenticated users with editproducts privileges to execute arbitrary SQL via the product name.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Bugzilla多个安全漏洞
漏洞描述信息
Bugzilla是一款基于WEB的程序错误漏洞跟踪系统。 Bugzilla存在多个安全问题,远程攻击者可以利用这个漏洞进行SQL注入攻击,访问受限数据等攻击。 具体问题如下: 1、特权用户可进行SQL注入攻击: 用户拥有'editproducts'权限(一般是管理员)通过对产品赋予特殊名而能选择任意SQL由统计cron作业(collectstats.pl)运行。 2、特权用户可进行SQL注入攻击: 用户拥有'editkeywords'权限(一般是管理员)可通过用于编辑已存在关键词的URL注入任意SQL。
CVSS信息
N/A
漏洞类别
授权问题