Avis du CERT-FR

Objet: Vulnérabilité dans Mantis

Gestion du document

Référence	CERTA-2008-AVI-518
Titre	Vulnérabilité dans Mantis
Date de la première version	22 octobre 2008
Date de la dernière version	22 octobre 2008
Source(s)	Notes de modification de Mantis 1.1.4 du 18 octobre 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance

Systèmes affectés

Mantis versions antérieures à 1.1.4.

Résumé

Une vulnérabilité dans Mantis permet à une personne malintentionnée d'exécuter du code arbitraire à distance.

Description

Une vulnérabilité dans la page manage_proj_page.php de Mantis permet à une personne authentifiée d'injecter du code PHP et donc d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Notes de modification de Mantis :

http://www.mantisbt.org/bugs/changelog_page.php

Téléchargement de Mantis :

http://sourceforge.net/project/showfiles.php?group_id=14963&package_id=166159

Gestion détaillée du document

le 22 octobre 2008: version initiale.