漏洞标题
N/A
漏洞描述信息
在MantisBT移动附件页面(move_attachments_page.php,属于管理工具的一部分)中的一个跨站点脚本(XSS)漏洞,允许远程攻击者通过精心构造的'类型'参数注入任意代码,如果内容安全保护(CSP)设置允许。此漏洞在1.3.9、2.1.3和2.2.3中被修复。请注意,如果删除管理工具目录,此漏洞就无法利用,正如MantisBT管理指南中的“安装和升级任务”中的建议。登录页面也会显示一个提醒。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A cross-site scripting (XSS) vulnerability in the MantisBT Move Attachments page (move_attachments_page.php, part of admin tools) allows remote attackers to inject arbitrary code through a crafted 'type' parameter, if Content Security Protection (CSP) settings allows it. This is fixed in 1.3.9, 2.1.3, and 2.2.3. Note that this vulnerability is not exploitable if the admin tools directory is removed, as recommended in the "Post-installation and upgrade tasks" of the MantisBT Admin Guide. A reminder to do so is also displayed on the login page.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MantisBT 跨站脚本漏洞
漏洞描述信息
MantisBT是MantisBT团队的一套基于Web的开源缺陷跟踪系统。该系统以Web操作的形式提供项目管理及缺陷跟踪服务。 MantisBT中的Move Attachments页面(move_attachments_page.php)存在跨站脚本漏洞。远程攻击者可借助特制的‘type’参数利用该漏洞注入任意的代码。以下版本受到影响:MantisBT 1.2.2版本至1.3.8版本和2.0.0-beta1版本至2.1.2版本,2.2版本至2.2.2版本。
CVSS信息
N/A
漏洞类别
跨站脚本