Risque
- Injection de données SQL ;
- Accès illicite au système à distance.
Systèmes affectés
- Mantis version 0.19.2 et versions antérieures ;
- Mantis version 1.0.0rc2 et versions antérieures.
Description
Deux vulnérabilités ont été découvertes dans le logiciel de remontée d'erreur Mantis. Ces vulnérabilités peuvent être exploitées à distance par un utilisateur mal-intentionné.
L'exploitation de ces vulnérabilités peut conduire à la dépose de fichiers arbitraires à distance, et/ou à l'exécution de code SQL arbitraire à distance.
Solution
Utiliser Mantis version 0.19.3:
http://sourceforge.net/project/shownotes.php?release_id=362673
Documentation
Bulletin de mise à jour de Mantis :
http://sourceforge.net/project/shownotes.php?release_id=362673