CVE-2026-44655
HighCVSS 8.6Exploitation Probability (EPSS)
Low risk21th percentile - higher than 21% of all known CVEs
Summary
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.
Risk Assessment
Atakujący z odpowiednimi uprawnieniami może wprowadzić złośliwy kod HTML, co może prowadzić do ataków XSS i naruszenia bezpieczeństwa danych. Organizacja narażona jest na ryzyko utraty integralności danych oraz reputacji.
Recommendation
Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd uprawnień użytkowników, aby ograniczyć dostęp do funkcji administracyjnych.
Original NVD description (English source)
Mantis Bug Tracker (MantisBT) is an open source issue tracker. From 1.3.0 to 2.28.1, unescaped Project Name allows an attacker that can set it (which typically requires manager or administrator access level) to inject HTML in Move Attachments admin page. This vulnerability is fixed in 2.28.2.

