S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 13 septembre 2011
N° CERTA-2011-AVI-506
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans MantisBT

Gestion du document

Référence CERTA-2011-AVI-506
Titre Vulnérabilités dans MantisBT
Date de la première version 13 septembre 2011
Date de la dernière version 23 septembre 2011
Source(s) Annonce de la version 1.2.8 de MantisBT du 6 septembre 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire
  • Injection de code indirecte à distance

Systèmes affectés

MantisBT 1.2.x.

Résumé

Plusieurs vulnérabilités affectent MantisBT et permettent en particulier de l'injection de code.

Description

Plusieurs vulnérabilités affectent le gestionnaire de bogues MantisBT :

  • le défaut de validation des entrées dans plusieurs scripts PHP permet à un utilisateur malveillant de réaliser des injections de code indirectes à distance (XSS) ;
  • le défaut de validation des entrées dans plusieurs scripts PHP permet à un utilisateur malveillant de parcourir l'arborescence du système de fichiers et d'inclure des fichiers (LFI ou local file inclusion).

Solution

La version 1.2.8 de MantisBT corrige ces vulnérabilités.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 13 septembre 2011
    version initiale.
    le 23 septembre 2011
    ajout de références CVE.