CVE-2026-44655
WysokieCVSS 8.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 21 - wyżej niż 21% wszystkich znanych CVE
Streszczenie
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.
Ocena ryzyka
Atakujący z odpowiednimi uprawnieniami może wprowadzić złośliwy kod HTML, co może prowadzić do ataków XSS i naruszenia bezpieczeństwa danych. Organizacja narażona jest na ryzyko utraty integralności danych oraz reputacji.
Rekomendacja
Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd uprawnień użytkowników, aby ograniczyć dostęp do funkcji administracyjnych.
Oryginalny opis (angielski, źródło NVD)
Mantis Bug Tracker (MantisBT) is an open source issue tracker. From 1.3.0 to 2.28.1, unescaped Project Name allows an attacker that can set it (which typically requires manager or administrator access level) to inject HTML in Move Attachments admin page. This vulnerability is fixed in 2.28.2.

