S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 06 septembre 2010
N° CERTA-2010-AVI-418
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans MantisBT

Gestion du document

Référence CERTA-2010-AVI-418
Titre Vulnérabilités dans MantisBT
Date de la première version06 septembre 2010
Date de la dernière version06 octobre 2010
Source(s) Bulletin de version de MantisBT du 29 juillet 2010

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Injection de code indirecte à distance

Systèmes affectés

MantisBT, versions antérieures à la version 1.2.2.

Résumé

MantisBT présente deux vulnérabilités de type injection de code indirecte (XSS).

Description

MantisBT est un outil de gestion des erreurs de programme (bug tracker).

Deux vulnérabilités de type XSS l'affectent :

  • le rendu des pièces jointes intégrées permet l'injection de code HTML ou de scripts ;
  • la fonction project_id_filter_target permet de réaliser de l'injection de code indirecte quand le filtrage avancé des vues est utilisé.

Solution

La version MantisBT 1.2.2 remédie à ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 septembre 2010
    version initiale.
    le 06 octobre 2010
    ajout des références CVE.