漏洞起因
输入验证错误
危险等级
中
影响系统
Bugzilla 2.x
Bugzilla 3.x
Bugzilla 4.x
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感信息或操作部分数据。
攻击所需条件
攻击者必须访问Bugzilla。
漏洞信息
Bugzilla是一款基于Web的BUG跟踪系统。
Bugzilla存在安全漏洞,允许恶意用户获得敏感信息或操作部分数据。
-通过用户名传递的输入在用于LDAP查询之前缺少正确转义,可被利用注入LDAP语句。
-应用程序没有限制目录浏览访问扩展,可被利用泄露模版中的源代码。
测试方法
厂商解决方案
Bugzilla 3.6.11, 4.0.8, 4.2.3或4.3.3已经修复此漏洞,建议用户下载使用:
http://www.bugzilla.org/
漏洞提供者
Frédéric Buclin
评论关闭。