漏洞标题
N/A
漏洞描述信息
在Bugzilla 2.16.3及其更早版本以及2.17.1至2.17.4版本中,存在SQL注入漏洞,允许具有编辑关键字权限的远程 authenticated 用户通过编辑关键字.cgi 参数执行任意 SQL。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
SQL injection vulnerability in Bugzilla 2.16.3 and earlier, and 2.17.1 through 2.17.4, allows remote authenticated users with editkeywords privileges to execute arbitrary SQL via the id parameter to editkeywords.cgi.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Bugzilla多个安全漏洞
漏洞描述信息
Bugzilla是一款基于WEB的程序错误漏洞跟踪系统。 Bugzilla存在多个安全问题,远程攻击者可以利用这个漏洞进行SQL注入攻击,访问受限数据等攻击。 具体问题如下: 1、特权用户可进行SQL注入攻击: 用户拥有'editproducts'权限(一般是管理员)通过对产品赋予特殊名而能选择任意SQL由统计cron作业(collectstats.pl)运行。 2、特权用户可进行SQL注入攻击: 用户拥有'editkeywords'权限(一般是管理员)可通过用于编辑已存在关键词的URL注入任意SQL。
CVSS信息
N/A
漏洞类别
授权问题