{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Bugzilla 3.2.4 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Bugzilla 3.0.8 ;","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}},{"description":"Bugzilla 3.4.1.","product":{"name":"N/A","vendor":{"name":"N/A","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nTrois vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans Bugzilla :\n\n-   la premi\u00e8re concerne un manque de contr\u00f4le dans certaines entr\u00e9es\n    pass\u00e9es au service Bug.search et permet d'injecter des commandes SQL\n    ;\n-   la seconde est relative \u00e0 un manque de contr\u00f4le dans certaines\n    entr\u00e9es pass\u00e9es au service Bug.create et permet d'injecter des\n    commandes SQL ;\n-   la derni\u00e8re est relative au m\u00e9canisme de gestion des mots de passe\n    des utilisateurs qui, sous certaines conditions, affiche des mots de\n    passe en clair.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n\nLes versions 3.0.9, 3.2.5 et 3.4.2 corrigent le probl\u00e8me :\n\n    http://www.bugzilla.com/download/\n","cves":[{"name":"CVE-2009-3165","url":"https://www.cve.org/CVERecord?id=CVE-2009-3165"},{"name":"CVE-2009-3166","url":"https://www.cve.org/CVERecord?id=CVE-2009-3166"},{"name":"CVE-2009-3125","url":"https://www.cve.org/CVERecord?id=CVE-2009-3125"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA-1913-1 du 17 octobre 2009 :","url":"http://www.debian.org/security/2009/dsa-1913"}],"reference":"CERTA-2009-AVI-391","revisions":[{"description":"version initiale.","revision_date":"2009-09-18T00:00:00.000000"},{"description":"ajout de la r\u00e9f\u00e9rence au bulletin de s\u00e9curit\u00e9 Debian.","revision_date":"2009-10-19T00:00:00.000000"}],"risks":[{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans <span\nclass=\"textit\">Bugzilla</span> permettent \u00e0 un utilisateur distant\nmalintentionn\u00e9 de porter atteinte \u00e0 la confidentialit\u00e9 ou \u00e0 l'int\u00e9grit\u00e9\ndes donn\u00e9es.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Bugzilla","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Bugzilla du 11 septembre 2009","url":"http://www.bugzilla.com/security/3.0.8"}]}