{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>MantisBT, version 1.2.3 et versions  ant\u00e9rieures.</p>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s affectent MantisBT\u00a0:\n\n-   des erreurs dans le programme upgrade_unattended.php permettent de\n    r\u00e9aliser de l'injection de code indirecte (XSS), de l'inclusion\n    locale de code et d'atteindre sans droit des fichiers\u00a0;\n-   quand le param\u00e8tre report_stay est \u00e0 1 (un), une injection de code\n    indirecte est possible\u00a0;\n-   le codage imparfait des adresses IRC permet de r\u00e9aliser de\n    l'injection de code indirecte.\n\n## Solution\n\nLa version 1.2.4 de MantisBT corrige ces probl\u00e8mes.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2010-4348","url":"https://www.cve.org/CVERecord?id=CVE-2010-4348"},{"name":"CVE-2010-4350","url":"https://www.cve.org/CVERecord?id=CVE-2010-4350"},{"name":"CVE-2010-4349","url":"https://www.cve.org/CVERecord?id=CVE-2010-4349"}],"links":[{"title":"Bulletins de s\u00e9curit\u00e9 Fedora FEDORA-2010-19070 et    FEDORA-2010-19078 du 19 d\u00e9cembre 2010\u00a0:","url":"http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052730.html"},{"title":"Bulletins de s\u00e9curit\u00e9 Fedora FEDORA-2010-19070 et    FEDORA-2010-19078 du 19 d\u00e9cembre 2010\u00a0:","url":"http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052721.html"},{"title":"Bulletin de la version 1.2.4 de MantisBT du 15 d\u00e9cembre    2010 :","url":"http://www.mantisbt.org/bugs/changelog_page.php?project=mantisbt&version=1.2.4"}],"reference":"CERTA-2010-AVI-612","revisions":[{"description":"version initiale.","revision_date":"2010-12-16T00:00:00.000000"},{"description":"ajout des r\u00e9f\u00e9rences aux bulletins Fedora et aux CVE.","revision_date":"2011-01-06T00:00:00.000000"}],"risks":[{"description":"Injection de code indirecte \u00e0 distance"},{"description":"Contournement de la politique de s\u00e9curit\u00e9"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s dans MantisBT permettent \u00e0 un utilisateur\nmalveillant de contouner la politique de s\u00e9curit\u00e9 ou de faire de\nl'injection de code indirecte.\n","title":"Vuln\u00e9rabilit\u00e9s dans MantisBT","vendor_advisories":[{"published_at":null,"title":"Bulletin de la version 1.2.4 de MantisBT du 15 d\u00e9cembre 2010","url":null}]}