漏洞起因
设计错误
危险等级
低
影响系统
Bugzilla 3.x
Bugzilla 4.x
不受影响系统
危害
远程攻击者可以利用漏洞冒充其他用户发信息或执行某些操作。
攻击所需条件
攻击者必须访问Mozilla Bugzilla。
漏洞信息
Mozilla Bugzilla是一款基于Web的BUG跟踪系统。
Mozilla Bugzilla存在多个安全漏洞:
1)处理包含某些UTF-8编码字符的Email地址时存在错误,可被利用冒充其他用户。
2)应用程序存在跨站请求伪造漏洞,允许攻击者构建恶意URI,诱使登录用户访问,可以目标用户上下文更改某些数据或执行管理员操作。
测试方法
厂商解决方案
Bugzilla 3.4.14, 3.6.8或4.0.4已经修复此漏洞,建议用户下载使用:
http://www.bugzilla.org
漏洞提供者
1) James Kettle
2) Mario Gomes
评论关闭。