漏洞标题
N/A
漏洞描述信息
在Bugzilla 2.16.3及其更早版本中,启用使用buggroups时,编辑产品.cgi 程序未正确从正在删除的组中移除组添加权限,这允许拥有这些权限的用户执行未经授权的添加到原组ID分配的下一个组。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
editproducts.cgi in Bugzilla 2.16.3 and earlier, when usebuggroups is enabled, does not properly remove group add privileges from a group that is being deleted, which allows users with those privileges to perform unauthorized additions to the next group that is assigned with the original group ID.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Bugzilla多个安全漏洞
漏洞描述信息
Bugzilla是一款基于WEB的程序错误漏洞跟踪系统。 Bugzilla存在多个安全问题,远程攻击者可以利用这个漏洞进行SQL注入攻击,访问受限数据等攻击。 具体问题如下: 1、特权用户可进行SQL注入攻击: 用户拥有'editproducts'权限(一般是管理员)通过对产品赋予特殊名而能选择任意SQL由统计cron作业(collectstats.pl)运行。 2、特权用户可进行SQL注入攻击: 用户拥有'editkeywords'权限(一般是管理员)可通过用于编辑已存在关键词的URL注入任意SQL。
CVSS信息
N/A
漏洞类别
授权问题