Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en en la página MantisBT Move Attachments (CVE-2017-7241)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
31/03/2017
Última modificación:
20/04/2025

Descripción

Una vulnerabilidad XSS en la página MantisBT Move Attachments (move_attachments_page.php, parte de las herramientas de administración) permite a atacantes remotos inyectar código arbitrario mediante un parámetro 'type' manipulado si la configuración de CSP lo permite. Esto se fija en 1.3.9, 2.1.3 y 2.2.3. Tenga en cuenta que esta vulnerabilidad no es explotable si se elimina el directorio de herramientas de administración, como se recomienda en las "Tareas posteriores a la instalación y actualización" de la guía de administración de MantisBT. También se muestra un recordatorio para hacerlo en la página de inicio de sesión.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mantisbt:mantisbt:1.2.16:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.2.17:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.2.18:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.2.19:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.2.20:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.0:beta1:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.0:beta2:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.0:beta3:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.0:rc1:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.0:rc2:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.1:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.2:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.3:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.4:*:*:*:*:*:*:*
cpe:2.3:a:mantisbt:mantisbt:1.3.5:*:*:*:*:*:*:*