Mozilla Bugzilla恶意代码执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1175459 漏洞类型 信息泄露
发布时间 2011-08-10 更新时间 2011-08-10
CVE编号 CVE-2011-2380 CNNVD-ID CNNVD-201108-149
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201108-149
|漏洞详情
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。Bugzilla2.23.3至2.22.7版本,3.0.x至3.3.x版本,3.4.12之前的3.4.x版本,3.5.x版本,3.6.6之前的3.6.x版本,3.7.x版本,4.0.2之前的4.0.x版本和4.1.3之前的4.1.x版本中存在恶意代码执行漏洞。远程攻击者可借助bug创建或bug编辑过程中的特制参数确定私人组名的存在。通常组名是机密的,只对组成员可见。在创建或编辑bug时通过构建URL,可以猜测组是否退出,即使是没有在bug中使用的组。
|参考资料

来源:bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=653477
来源:XF
名称:bugzilla-editing-info-disclosure(69034)
链接:http://xforce.iss.net/xforce/xfdb/69034
来源:BID
名称:49042
链接:http://www.securityfocus.com/bid/49042
来源:OSVDB
名称:74299
链接:http://www.osvdb.org/74299
来源:OSVDB
名称:74298
链接:http://www.osvdb.org/74298
来源:www.bugzilla.org
链接:http://www.bugzilla.org/security/3.4.11/
来源:SECUNIA
名称:45501
链接:http://secunia.com/advisories/45501