MantisBT core/summary_api.php文件跨站脚本漏洞

漏洞信息详情

MantisBT core/summary_api.php文件跨站脚本漏洞

• CNNVD编号：CNNVD-201405-278
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2013-1810
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2014-05-19
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-05-19
  
• 厂        商：
  
  mantisbt
• 漏洞来源：

MantisBT是MantisBT团队的一套基于Web的开源缺陷跟踪系统。该系统以Web操作的形式提供项目管理及缺陷跟踪服务。

MantisBT 1.2.12版本的core/summary_api.php文件存在跨站脚本漏洞。远程攻击者可借助‘summary_print_by_category’函数中的category name和‘summary_print_by_project’函数中的project name利用该漏洞以管理员权限注入任意Web脚本或HTML。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.mantisbt.org/bugs/view.php?id=15384

来源:MLIST

名称:[oss-security] 20130302 Re: CVE request: MantisBT 1.2.12 only summary.php category/project names XSS vulnerability

链接:http://seclists.org/oss-sec/2013/q1/556

来源:SECUNIA

名称:51853

链接:http://secunia.com/advisories/51853

来源:MLIST

名称:[oss-security] 20130119 CVE request: MantisBT 1.2.12 only summary.php category/project names XSS vulnerability

链接:http://seclists.org/oss-sec/2013/q1/127

来源:www.mantisbt.org

链接:http://www.mantisbt.org/bugs/view.php?id=15384