Risques

  • Accès illicite au système à distance
  • Injection de données SQL

Systèmes affectés

  • Mantis version 0.19.2 et versions antérieures ;
  • Mantis version 1.0.0rc2 et versions antérieures.

Description

Deux vulnérabilités ont été découvertes dans le logiciel de remontée d'erreur Mantis. Ces vulnérabilités peuvent être exploitées à distance par un utilisateur mal-intentionné.

L'exploitation de ces vulnérabilités peut conduire à la dépose de fichiers arbitraires à distance, et/ou à l'exécution de code SQL arbitraire à distance.

Solution

Utiliser Mantis version 0.19.3:

http://sourceforge.net/project/shownotes.php?release_id=362673

Documentation