Risques
- Accès illicite au système à distance
- Injection de données SQL
Systèmes affectés
- Mantis version 0.19.2 et versions antérieures ;
- Mantis version 1.0.0rc2 et versions antérieures.
Description
Deux vulnérabilités ont été découvertes dans le logiciel de remontée d'erreur Mantis. Ces vulnérabilités peuvent être exploitées à distance par un utilisateur mal-intentionné.
L'exploitation de ces vulnérabilités peut conduire à la dépose de fichiers arbitraires à distance, et/ou à l'exécution de code SQL arbitraire à distance.
Solution
Utiliser Mantis version 0.19.3:
http://sourceforge.net/project/shownotes.php?release_id=362673
Documentation
- Bulletin de mise à jour de Mantis http://sourceforge.net/project/shownotes.php?release_id=362673