Mantis 'string_api.php' 发行数量信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1184875 漏洞类型 信息泄露
发布时间 2008-10-22 更新时间 2008-12-03
CVE编号 CVE-2008-4688 CNNVD-ID CNNVD-200810-389
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/31868
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200810-389
|漏洞详情
Mantis中的core/string_api.php从数据源中用问题数据组成的一个链接前没有核对查看者的特权,远程攻击者可以借助一个带有修改过事件号码的请求来发现发行的标题和状态。
|受影响的产品
Mantis Mantis 1.1.2 Mantis Mantis 1.1.1 Mantis Mantis 1.1 Mantis Mantis 1.0.1 Mantis Mantis 1.0 .0RC4 Mantis Mantis 1.0 .0RC3 Mantis Mantis 1.0 .0rc2
|参考资料

来源:BID
名称:31868
链接:http://www.securityfocus.com/bid/31868
来源:MLIST
名称:[oss-security]20081020Re:CVErequest:mantisbt<1.1.4:RCE
链接:http://www.openwall.com/lists/oss-security/2008/10/20/1
来源:www.mantisbt.org
链接:http://www.mantisbt.org/bugs/view.php?id=9321
来源:www.mantisbt.org
链接:http://www.mantisbt.org/bugs/changelog_page.php
来源:GENTOO
名称:GLSA-200812-07
链接:http://www.gentoo.org/security/en/glsa/glsa-200812-07.xml
来源:SECUNIA
名称:32975
链接:http://secunia.com/advisories/32975
来源:SECUNIA
名称:32243
链接:http://secunia.com/advisories/32243
来源:mantisbt.svn.sourceforge.net
链接:http://mantisbt.svn.sourceforge.net/viewvc/mantisbt/branches/BRANCH_1_1_0/mantisbt/core/string_api.php?r1=5285&r2=5384&pathrev=5384