MantisBT 1.2.12 - 1.2.14 多個弱點
medium Nessus Plugin ID 66392
語系:
概要
遠端 Web 伺服器包含一個受多個弱點影響的 PHP 應用程式。說明
根據其版本號碼,遠端 web 伺服器上主控的 MantisBT 安裝受到多個弱點影響:- 在「檢視問題」頁面上執行搜尋查詢時,'filter_api.php' 指令碼中存在一個瑕疵。
結合篩選準則可導致拒絕服務。(CVE-2013-1883)
- 存在一個瑕疵,這是因為即使不允許顯示關閉按鈕時其仍顯示所導致。這可能會允許遠端攻擊者在權限不足的情況下變更票證狀態。(CVE-2013-1930)
- 'manage_proj_ver_delete.php' 中存在一個跨網站指令碼弱點,這是因為 'version' 參數未正確清理輸入所導致。據報此瑕疵會影響 Mantis 1.2.14。
(CVE-2013-1931)
解決方案
升級至 1.2.15 或更新版本。另請參閱
https://mantisbt.org/blog/archives/mantisbt/249
https://mantisbt.org/bugs/view.php?id=15453
Plugin 詳細資訊
嚴重性: Medium
ID: 66392
檔案名稱: mantis_1_2_15.nasl
版本: 1.13
類型: remote
系列: CGI abuses
已發布: 2013/5/13
已更新: 2022/4/11
組態: 啟用 Paranoid 模式, 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2013-1931
CVSS v3
風險因素: Medium
基本分數: 6.1
時間分數: 5.3
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:mantisbt:mantisbt
必要的 KB 項目: Settings/ParanoidReport, installed_sw/MantisBT
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/4/14
弱點發布日期: 2013/1/31