CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-44655

HighCVSS 8.6
Published: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.30%

21th percentile - higher than 21% of all known CVEs

Summary

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.

Risk Assessment

Atakujący z odpowiednimi uprawnieniami może wprowadzić złośliwy kod HTML, co może prowadzić do ataków XSS i naruszenia bezpieczeństwa danych. Organizacja narażona jest na ryzyko utraty integralności danych oraz reputacji.

Recommendation

Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd uprawnień użytkowników, aby ograniczyć dostęp do funkcji administracyjnych.

Original NVD description (English source)

Mantis Bug Tracker (MantisBT) is an open source issue tracker. From 1.3.0 to 2.28.1, unescaped Project Name allows an attacker that can set it (which typically requires manager or administrator access level) to inject HTML in Move Attachments admin page. This vulnerability is fixed in 2.28.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS