{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>MantisBT 1.2.x.</p>","content":"## Description\n\nPlusieurs vuln\u00e9rabilit\u00e9s affectent le gestionnaire de bogues MantisBT\u00a0:\n\n-   le d\u00e9faut de validation des entr\u00e9es dans plusieurs scripts PHP\n    permet \u00e0 un utilisateur malveillant de r\u00e9aliser des injections de\n    code indirectes \u00e0 distance (XSS)\u00a0;\n-   le d\u00e9faut de validation des entr\u00e9es dans plusieurs scripts PHP\n    permet \u00e0 un utilisateur malveillant de parcourir l'arborescence du\n    syst\u00e8me de fichiers et d'inclure des fichiers (LFI ou local file\n    inclusion).\n\n## Solution\n\nLa version 1.2.8 de MantisBT corrige ces vuln\u00e9rabilit\u00e9s.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2011-3356","url":"https://www.cve.org/CVERecord?id=CVE-2011-3356"},{"name":"CVE-2011-3357","url":"https://www.cve.org/CVERecord?id=CVE-2011-3357"},{"name":"CVE-2011-3358","url":"https://www.cve.org/CVERecord?id=CVE-2011-3358"},{"name":"CVE-2011-3578","url":"https://www.cve.org/CVERecord?id=CVE-2011-3578"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Debian DSA 2308 du 12 septembre 2011 :","url":"http://www.debian.org/security/2011/dsa-2308"}],"reference":"CERTA-2011-AVI-506","revisions":[{"description":"version initiale.","revision_date":"2011-09-13T00:00:00.000000"},{"description":"ajout de r\u00e9f\u00e9rences CVE.","revision_date":"2011-09-23T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire"},{"description":"Injection de code indirecte \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"}],"summary":"Plusieurs vuln\u00e9rabilit\u00e9s affectent MantisBT et permettent en particulier\nde l'injection de code.\n","title":"Vuln\u00e9rabilit\u00e9s dans MantisBT","vendor_advisories":[{"published_at":null,"title":"Annonce de la version 1.2.8 de MantisBT du 6 septembre 2011","url":"http://www.mantisbt.org/"}]}