Avis du CERT-FR

Objet: Vulnérabilité dans Bugzilla

Gestion du document

Référence	CERTA-2012-AVI-095
Titre	Vulnérabilité dans Bugzilla
Date de la première version	23 février 2012
Date de la dernière version	23 février 2012
Source(s)	Bulletin de sécurité Bugzilla du 22 février 2012

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

Bugzilla 4.x.

Résumé

Une vulnérabilité dans Bugzilla permet à un attaquant d'injecter par rebond des requêtes, de manière illégitime.

Description

Le manque de vérification pour certaines requêtes POST adressées à l'interface Web du serveur Bugzilla permet à un attaquant d'injecter de manière illégitime des requêtes (CSRF).

Solution

Les versions 4.0.4 et 4.2 de Bugzilla résolvent ce problème.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Bugzilla du 22 février 2012

http://www.bugzilla.org/security/4.0.4/

Référence CVE CVE-2012-0453

https://www.cve.org/CVERecord?id=CVE-2012-0453

Gestion détaillée du document

le 23 février 2012: version initiale.