Mozilla Bugzilla 绕过安全限制和跨站脚本漏洞

漏洞信息详情

Mozilla Bugzilla 绕过安全限制和跨站脚本漏洞

• CNNVD编号：CNNVD-200805-050
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2008-2104
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2008-05-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-09-05
  
• 厂        商：
  
  mozilla
• 漏洞来源：
  Frédéric Buclin L…

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

Bugzilla在处理用户请求时存在输入验证漏洞，远程攻击者可能利用此漏洞执行跨站脚本攻击或获取非授权访问。create()没有确保用户所输入的BUG状态是基于权限合法的，没有canconfirm权限的用户可以通过XML-RPC接口输入NEW或ASSIGNED状态的BIG。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.bugzilla.org/download/

来源: bugzilla.mozilla.org

链接:https://bugzilla.mozilla.org/show_bug.cgi?id=415471

来源: XF

名称: bugzilla-xmlrpc-security-bypass(42218)

链接:http://xforce.iss.net

来源: XF

名称: bugzilla-xmlrpc-security-bypass(42218)

链接:http://xforce.iss.net/xforce/xfdb/42218

来源: SECTRACK

名称: 1019968

链接:http://www.securitytracker.com/id?1019968

来源: BID

名称: 29038

链接:http://www.securityfocus.com/bid/29038

来源: VUPEN

名称: ADV-2008-1428

链接:http://www.frsirt.com/english/advisories/2008/1428/references

来源: www.bugzilla.org

链接:http://www.bugzilla.org/security/2.20.5/

来源: SECUNIA

名称: 30064

链接:http://secunia.com/advisories/30064