 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 23 septembre
2011
No CERTA-2011-AVI-506-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Vulnérabilités dans
MantisBT
Tableau 1: Gestion du document
| Référence |
CERTA-2011-AVI-506-001 |
| Titre |
Vulnérabilités
dans MantisBT |
| Date de la première
version |
13 septembre 2011 |
| Date de la dernière
version |
23 septembre 2011 |
| Source |
Annonce de la version 1.2.8 de
MantisBT du 6 septembre 2011 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire ;
- atteinte à la confidentialité des
données ;
- injection de code indirecte à distance.
MantisBT 1.2.x.
Plusieurs vulnérabilités affectent MantisBT et
permettent en particulier de l'injection de code.
Plusieurs vulnérabilités affectent le
gestionnaire de bogues MantisBT :
- le défaut de validation des entrées dans
plusieurs scripts PHP permet à un utilisateur
malveillant de réaliser des injections de code
indirectes à distance (XSS) ;
- le défaut de validation des entrées dans
plusieurs scripts PHP permet à un utilisateur
malveillant de parcourir l'arborescence du système de
fichiers et d'inclure des fichiers (LFI ou local file inclusion).
La version 1.2.8 de MantisBT corrige ces
vulnérabilités.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 13 septembre 2011
- version initiale.
- 23 septembre 2011
- ajout de références CVE.
CERTA
2012-01-04
|
|
)
