漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Bugzilla在多个版本中存在多个跨站请求伪造(CSRF)漏洞,允许远程攻击者劫持任意用户的身份验证,从而发起与某些特定操作相关的请求。
## 影响版本
- Bugzilla 3.2.10之前版本
- Bugzilla 3.4.x系列 3.4.10之前版本
- Bugzilla 3.6.x系列 3.6.4之前版本
- Bugzilla 4.0.x系列 4.0rc2之前版本
## 漏洞细节
这些漏洞允许攻击者执行以下操作:
1. 在 `buglist.cgi` 中添加保存的搜索项
2. 在 `votes.cgi` 中投票
3. 在 `sanitycheck.cgi` 中进行完整性检查
4. 在 `chart.cgi` 中创建或编辑图表
5. 在 `colchange.cgi` 中改变列
6. 在 `quips.cgi` 中添加、删除或审批名言
## 漏洞影响
成功利用这些漏洞后,攻击者可以冒充受害者用户的身份,执行上述特定的操作,可能导致敏感信息泄露或系统功能被恶意更改。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site request forgery (CSRF) vulnerabilities in Bugzilla before 3.2.10, 3.4.x before 3.4.10, 3.6.x before 3.6.4, and 4.0.x before 4.0rc2 allow remote attackers to hijack the authentication of arbitrary users for requests related to (1) adding a saved search in buglist.cgi, (2) voting in votes.cgi, (3) sanity checking in sanitycheck.cgi, (4) creating or editing a chart in chart.cgi, (5) column changing in colchange.cgi, and (6) adding, deleting, or approving a quip in quips.cgi.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Bugzilla多个跨站请求伪造漏洞
漏洞描述信息
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。 Bugzilla 3.2.10之前版本,3.4.10之前的3.4.x版本,3.6.4之前的3.6.x版本,4.0rc2之前的4.0.x版本中存在多个跨站请求伪造漏洞。远程攻击者可以劫持任意用户的多个请求认证。这些请求包括:(1)在buglist.cgi中添加保存搜索,(2)在votes.cgi中投票,(3)在sanitycheck.cg
CVSS信息
N/A
漏洞类别
跨站请求伪造