CVSS: 3.5EPSS: 0%CPEs: 38EXPL: 0CVE-2010-3303
https://notcve.org/view.php?id=CVE-2010-3303
Multiple cross-site scripting (XSS) vulnerabilities in MantisBT before 1.2.3 allow remote authenticated administrators to inject arbitrary web script or HTML via (1) a plugin name, related to manage_plugin_uninstall.php; (2) an enumeration value or (3) a String value of a custom field, related to core/cfdefs/cfdef_standard.php; or a (4) project or (5) category name to print_all_bug_page_word.php. Múltiples vulnerabilidades de ejecución de comandos en sitios cruzados (XSS) en MantisBT antes de v1.2.3 permiten a un administrador remoto autenticado inyectar secuencias de comandos web o HTML a través de (1) un nombre de plugin, relacionado con manage_plugin_uninstall.php, (2) un valor de enumeración o (3) un valor de cadena de un campo personalizado, relacionado con el core/cfdefs/cfdef_standard.php, o (4) un nombre de proyecto o (5) un nombre de categoría en print_all_bug_page_word.php. • http://lists.fedoraproject.org/pipermail/package-announce/2010-September/048548.html http://lists.fedoraproject.org/pipermail/package-announce/2010-September/048639.html http://lists.fedoraproject.org/pipermail/package-announce/2010-September/048659.html http://secunia.com/advisories/41653 http://secunia.com/advisories/51199 http://security.gentoo.org/glsa/glsa-201211-01.xml http://www.mantisbt.org/bugs/changelog_page.php?version_id=111 http://www.mantisbt.org/bugs/view.php?id=12231 http://w • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 38EXPL: 0CVE-2010-3763
https://notcve.org/view.php?id=CVE-2010-3763
Cross-site scripting (XSS) vulnerability in core/summary_api.php in MantisBT before 1.2.3 allows remote attackers to inject arbitrary web script or HTML via the Summary field, a different vector than CVE-2010-3303. Una vulnerabilidad de ejecución de comandos en sitios cruzados en core/summary_api.php en MantisBT antes de la versión v1.2.3 permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del campo de 'Summary'. Se trata de un problema diferente al de CVE-2010-3303. • http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052721.html http://lists.fedoraproject.org/pipermail/package-announce/2010-December/052730.html http://secunia.com/advisories/42772 http://secunia.com/advisories/51199 http://security.gentoo.org/glsa/glsa-201211-01.xml http://www.mantisbt.org/blog/?p=123 http://www.mantisbt.org/bugs/changelog_page.php?version_id=111 http://www.mantisbt.org/bugs/view.php?id=12309 http://www.openwall.com/lists/oss-security/201 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.5EPSS: 0%CPEs: 37EXPL: 0CVE-2010-2802
https://notcve.org/view.php?id=CVE-2010-2802
Cross-site scripting (XSS) vulnerability in MantisBT before 1.2.2 allows remote authenticated users to inject arbitrary web script or HTML via an HTML document with a .gif filename extension, related to inline attachments. Una vulnerabilidad de ejecución de comandos en sitios cruzados (XSS) en MantisBT antes de v1.2.2 permite a los usuarios remotos autenticados inyectar HTML o scripts web a través de un documento HTML con una extensión .gif . Se trata de un problema relacionado con los archivos adjuntos en línea. • http://www.mantisbt.org/blog/?p=113 http://www.mantisbt.org/bugs/view.php?id=11952 http://www.openwall.com/lists/oss-security/2010/08/02/16 http://www.openwall.com/lists/oss-security/2010/08/03/7 https://bugzilla.redhat.com/show_bug.cgi?id=620992 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.0EPSS: 0%CPEs: 5EXPL: 0CVE-2008-3102
https://notcve.org/view.php?id=CVE-2008-3102
Mantis 1.1.x through 1.1.2 and 1.2.x through 1.2.0a2 does not set the secure flag for the session cookie in an https session, which can cause the cookie to be sent in http requests and make it easier for remote attackers to capture this cookie. Mantis versiones 1.1.x hasta 1.1.2 y versiones 1.2.x hasta 1.2.0a2, no establece el flag de seguridad para la cookie de sesión en https, lo que puede causar que la cookie se envíe en peticiones http y haga mas fácil para los atacantes remotos la captura esta cookie. • http://int21.de/cve/CVE-2008-3102-mantis.html http://secunia.com/advisories/32243 http://secunia.com/advisories/32330 http://secunia.com/advisories/32975 http://securityreason.com/securityalert/4298 http://www.gentoo.org/security/en/glsa/glsa-200812-07.xml http://www.securityfocus.com/archive/1/496625/100/0/threaded http://www.securityfocus.com/archive/1/496684/100/0/threaded http://www.securityfocus.com/bid/31344 https://exchange.xforce.ibmcloud.com/vulnerabilities/45395 h • CWE-310: Cryptographic Issues •