Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-36192

Vulnerabilidad en las páginas view.php y list.php en el plugin Source Integration para MantisBT (CVE-2020-36192)

Tipo: 
No disponible / Otro tipo
Gravedad: 
Media
Fecha publicación : 
18/01/2021
Última modificación: 
22/01/2021
Descripción
Se detectó un problema en el plugin Source Integration versiones anteriores a 2.4.1 para MantisBT. Un atacante puede conseguir acceso al campo Summary de Problemas privados (ya sea marcados como privados o como parte de un proyecto privado), si están adjuntos a un Changeset existente. La información está visible en la página view.php, así como en la página list.php (una ventana emergente en el hipervínculo de identificación de problemas afectados). Además, si el atacante tiene "Update threshold" en la configuración del plugin (establecido en el nivel de acceso de "updater" por defecto), entonces puede vincular cualquier Problema a un Changeset al ingresar el ID del problema, inclusive si no tiene acceso a eso
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: No hay impacto en la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + No hay impacto en la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:mantisbt:source_integration:*:*:*:*:*:mantisbt:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos