Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo bug_revision_view_page.php en el parámetro bugnote_id en MantisBT (CVE-2020-35849)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/12/2020
Última modificación:
21/07/2021

Descripción

Se detectó un problema en MantisBT versiones anteriores a 2.24.4. Una comprobación incorrecta de acceso en el archivo bug_revision_view_page.php permite a un atacante poco privilegiado visualizar el campo Summary de problemas privados, así como revisiones de notas de bug, consiguiendo acceso a información potencialmente confidencial por medio del parámetro bugnote_id.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:mantisbt:mantisbt:*:*:*:*:*:*:*:* 2.24.4 (excluyendo)


Referencias a soluciones, herramientas e información