CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2020-25288
https://notcve.org/view.php?id=CVE-2020-25288
An issue was discovered in MantisBT before 2.24.3. When editing an Issue in a Project where a Custom Field with a crafted Regular Expression property is used, improper escaping of the corresponding form input's pattern attribute allows HTML injection and, if CSP settings permit, execution of arbitrary JavaScript. Se detectó un problema en MantisBT versiones anteriores a 2.24.3. Cuando se edita un problema en un proyecto donde se usa un campo personalizado con una propiedad de expresión regular diseñada, el escape incorrecto del atributo de patrón de entrada del formulario correspondiente permite la inyección de HTML y, si la configuración de CSP lo permite, una ejecución de JavaScript arbitrario • http://github.com/mantisbt/mantisbt/commit/221cf323f16a9738a5b27aaba94758f11281d85c https://mantisbt.org/bugs/view.php?id=27275 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 1CVE-2020-16266
https://notcve.org/view.php?id=CVE-2020-16266
An XSS issue was discovered in MantisBT before 2.24.2. Improper escaping on view_all_bug_page.php allows a remote attacker to inject arbitrary HTML into the page by saving it into a text Custom Field, leading to possible code execution in the browser of any user subsequently viewing the issue (if CSP settings allow it). Se detectó un problema de tipo XSS en MantisBT versiones anteriores a 2.24.2. Un escape inapropiado en el archivo view_all_bug_page.php permite a un atacante remoto inyectar HTML arbitrario en la página al guardarlo en un Campo Personalizado de texto, conllevando a una posible ejecución de código en el navegador de cualquier usuario visualizando el problema posteriormente (si la configuración CSP lo permite) • https://mantisbt.org/blog/archives/mantisbt/665 https://mantisbt.org/bugs/view.php?id=27056 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-15539
https://notcve.org/view.php?id=CVE-2019-15539
The proj_doc_edit_page.php Project Documentation feature in MantisBT before 2.21.3 has a stored cross-site scripting (XSS) vulnerability, allowing execution of arbitrary code (if CSP settings permit it) after uploading an attachment with a crafted filename. The code is executed when editing the document's page. La funcionalidad Project Documentation del archivo proj_doc_edit_page.php en MantisBT versiones anteriores a 2.21.3, presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado, permitiendo una ejecución de código arbitrario (si la configuración CSP lo permite) después de cargar un archivo adjunto con un nombre de archivo diseñado. El código se ejecuta al editar la página del documento. • https://github.com/mantisbt/mantisbt/commit/bd094dede74ff6e313e286e949e2387233a96eea https://mantisbt.org/bugs/view.php?id=26078 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 5EXPL: 0CVE-2013-1934
https://notcve.org/view.php?id=CVE-2013-1934
A cross-site scripting (XSS) vulnerability in the configuration report page (adm_config_report.php) in MantisBT 1.2.0rc1 before 1.2.14 allows remote authenticated users to inject arbitrary web script or HTML via a complex value. Una vulnerabilidad de tipo cross-site scripting (XSS) en la página de reporte de la configuración (archivo adm_config_report.php) en MantisBT versiones 1.2.0rc1 anteriores a 1.2.14, permite a usuarios autenticados remotos inyectar script web o HTML arbitrario por medio de un valor complejo. • http://www.debian.org/security/2015/dsa-3120 http://www.openwall.com/lists/oss-security/2013/04/09/1 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-1934 https://mantisbt.org/bugs/view.php?id=15416 https://security-tracker.debian.org/tracker/CVE-2013-1934 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2013-1931
https://notcve.org/view.php?id=CVE-2013-1931
A cross-site scripting (XSS) vulnerability in MantisBT 1.2.14 allows remote attackers to inject arbitrary web script or HTML via a version, related to deleting a version. Una vulnerabilidad de tipo cross-site scripting (XSS) en MantisBT versión 1.2.14, permite a atacantes remotos inyectar script web o HTML arbitrario por medio de una versión, relacionada con la eliminación de una versión. • http://lists.fedoraproject.org/pipermail/package-announce/2013-April/103438.html http://lists.fedoraproject.org/pipermail/package-announce/2013-April/103459.html http://www.openwall.com/lists/oss-security/2013/04/06/4 http://www.securityfocus.com/bid/58889 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-1931 https://mantisbt.org/bugs/view.php?id=15511 https://security-tracker.debian.org/tracker/CVE-2013-1931 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •