漏洞标题
N/A
漏洞描述信息
在Bugzilla 2.17.1 到 2.22.7、3.0.x 到 3.3.x、3.4.x 前 3.4.12、3.5.x、3.6.x 到 3.6.6、3.7.x、4.0.x 到 4.1.3 之间,以及在 4.1.3 前的其他版本中,CRLF 注入漏洞允许远程攻击者通过标记邮件通知中的附件描述来注入任意的电子邮件头。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
CRLF injection vulnerability in Bugzilla 2.17.1 through 2.22.7, 3.0.x through 3.3.x, 3.4.x before 3.4.12, 3.5.x, 3.6.x before 3.6.6, 3.7.x, 4.0.x before 4.0.2, and 4.1.x before 4.1.3 allows remote attackers to inject arbitrary e-mail headers via an attachment description in a flagmail notification.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Bugzilla CRLF注入漏洞
漏洞描述信息
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。 Bugzilla中存在CRLF注入漏洞。Bugzilla通常发送两种类型的电子邮件通知:bugmails和flagmails。bugmails是标准电子邮件用户在bug更改时收到的。flagmails仅发送给旗标要求者或旗标请求者。对于flagmails,附件说明中有新行可导致在编辑旗标时在通知中注入特制标头。仅收到bugmail的用户
CVSS信息
N/A
漏洞类别
代码注入