Katalog CVE

CVE-2026-44655

WysokieCVSS 8.6
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach od 1.3.0 do 2.28.1, nieodfiltrowana nazwa projektu pozwala atakującemu, który ma dostęp na poziomie menedżera lub administratora, na wstrzyknięcie kodu HTML na stronie administracyjnej Przenieś Załączniki. Ta podatność została naprawiona w wersji 2.28.2.

Ocena ryzyka

Atakujący z odpowiednimi uprawnieniami może wprowadzić złośliwy kod HTML, co może prowadzić do ataków XSS i naruszenia bezpieczeństwa danych. Organizacja narażona jest na ryzyko utraty integralności danych oraz reputacji.

Rekomendacja

Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd uprawnień użytkowników, aby ograniczyć dostęp do funkcji administracyjnych.

Oryginalny opis (angielski, źródło NVD)

Mantis Bug Tracker (MantisBT) is an open source issue tracker. From 1.3.0 to 2.28.1, unescaped Project Name allows an attacker that can set it (which typically requires manager or administrator access level) to inject HTML in Move Attachments admin page. This vulnerability is fixed in 2.28.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS