Katalog CVE

CVE-2026-41897

ŚrednieCVSS 5.3
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia błędów. W wersjach od 1.0.0 do 2.28.1 brak walidacji parametru filter_target w pliku return_dynamic_filters.php umożliwia atakującemu wstrzyknięcie dowolnego kodu HTML, jeśli celem jest niestandardowe pole TEXTAREA. Ta podatność została naprawiona w wersji 2.28.2.

Ocena ryzyka

Brak walidacji może prowadzić do ataków XSS, co stwarza ryzyko kradzieży danych użytkowników oraz przejęcia sesji. Organizacje mogą być narażone na utratę reputacji oraz zaufania klientów.

Rekomendacja

Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych luk.

Oryginalny opis (angielski, źródło NVD)

Mantis Bug Tracker (MantisBT) is an open source issue tracker. From 1.0.0 to 2.28.1, lack of validation of filter_target parameter on return_dynamic_filters.php (normally used as an AJAX in View Issues Page) allows an attacker to inject arbitrary HTML if the target is a TEXTAREA custom field. This vulnerability is fixed in 2.28.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS