Risque

Injection de code indirecte (cross-site scripting).

Systèmes affectés

Mantis 1.0.x.

Résumé

Une vulnérabilité de Mantis permet à un utilisateur malveillant de réaliser de l'injection de code indirecte.

Description

Mantis est un logiciel de gestion d'anomalies des logiciels (bug tracker).

Lors du chargement d'un fichier sur le serveur, le programme bug_report.php ne filtre pas le nom du fichier. Ce manque de vérification permet à un utilisateur malveillant de réaliser de l'injection de code indirecte.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation