漏洞标题
MantisBT可能暴露给未经授权的实体敏感信息
漏洞描述信息
MantisBT(Mantis Bug Tracker)是一个开源的问题追踪工具。如果一个问题链接到了用户无法访问的另一个问题的所有者发出的注释,那么这个链接就会被超链接。点击这个链接通常会得到一个访问被拒绝的错误,但通过链接、链接标签和提示信息,部分信息仍然可以获取。这可能导致注释的存在、注释作者的名称、注释的创建时间以及注释所属的问题编号的泄露。2.26.2版本包含了对这个问题的补丁。目前没有已知的变通方法。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
漏洞类别
信息暴露
漏洞标题
MantisBT Vulnerable to Exposure of Sensitive Information to an Unauthorized Actor
漏洞描述信息
MantisBT (Mantis Bug Tracker) is an open source issue tracker. If an issue references a note that belongs to another issue that the user doesn't have access to, then it gets hyperlinked. Clicking on the link gives an access denied error as expected, yet some information remains available via the link, link label, and tooltip. This can result in disclosure of the existence of the note, the note author name, the note creation timestamp, and the issue id the note belongs to. Version 2.26.2 contains a patch for the issue. No known workarounds are available.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
信息暴露
漏洞标题
MantisBT 安全漏洞
漏洞描述信息
MantisBT是MantisBT团队的一套基于Web的开源缺陷跟踪系统。该系统以Web操作的形式提供项目管理及缺陷跟踪服务。 MantisBT 2.26.2之前版本存在安全漏洞,该漏洞源于存在向未经授权的行为者暴露敏感信息问题。
CVSS信息
N/A
漏洞类别
其他