漏洞标题
N/A
漏洞描述信息
"Bugzilla 2.18.x before 2.18.6, 2.20.x before 2.20.3, 2.22.x before 2.22.1, and 2.23.x before 2.23.3 允许远程攻击者通过在 attachment.cgi 中查看附件的 "diff" 模式来获取(1)任意附件的描述,以及(2) show_bug.cgi 中 bug 的 XML 格式来获取截止日期字段。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Bugzilla 2.18.x before 2.18.6, 2.20.x before 2.20.3, 2.22.x before 2.22.1, and 2.23.x before 2.23.3 allow remote attackers to obtain (1) the description of arbitrary attachments by viewing the attachment in "diff" mode in attachment.cgi, and (2) the deadline field by viewing the XML format of the bug in show_bug.cgi.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Bugzilla 'attachment.cgi和show_bug.cgi'敏感信息泄露漏洞
漏洞描述信息
Bugzilla是很多软件项目都在使用的基于Web的bug跟踪系统。 Bugzilla中存在多个安全漏洞,具体如下:在diff模式中attachment.cgi,浏览附件时允许insidergroup中的用户读取所有附件的描述。此外,在以XML格式导出bug时非timetrackinggroup组的用户也可以看到deadline字段在show_bug.cgi中。攻击者可以获得敏感信息。
CVSS信息
N/A
漏洞类别
授权问题