Vulnérabilités dans MantisBT

Gestion du document

Référence	CERTA-2010-AVI-418-001
Titre	Vulnérabilités dans MantisBT
Date de la première version	06 septembre 2010
Date de la dernière version	06 octobre 2010
Source(s)	Bulletin de version de MantisBT du 29 juillet 2010
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Injection de code indirecte à distance.

MantisBT, versions antérieures à la version 1.2.2.

MantisBT présente deux vulnérabilités de type injection de code indirecte (XSS).

MantisBT est un outil de gestion des erreurs de programme (bug tracker).

Deux vulnérabilités de type XSS l'affectent :

le rendu des pièces jointes intégrées permet l'injection de code HTML ou de scripts ;
la fonction project_id_filter_target permet de réaliser de l'injection de code indirecte quand le filtrage avancé des vues est utilisé.

La version MantisBT 1.2.2 remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Bulletin de version de MantisBT du 29 juillet 2010 :

http://www.mantisbt.org/bugs/changelog_page.php?version_id=110

Référence CVE CVE-2010-2802 :

https://www.cve.org/CVERecord?id=CVE-2010-2802

Référence CVE CVE-2010-2574 :

https://www.cve.org/CVERecord?id=CVE-2010-2574

Gestion détaillée du document