CVE-2019-15539
https://notcve.org/view.php?id=CVE-2019-15539
The proj_doc_edit_page.php Project Documentation feature in MantisBT before 2.21.3 has a stored cross-site scripting (XSS) vulnerability, allowing execution of arbitrary code (if CSP settings permit it) after uploading an attachment with a crafted filename. The code is executed when editing the document's page. La funcionalidad Project Documentation del archivo proj_doc_edit_page.php en MantisBT versiones anteriores a 2.21.3, presenta una vulnerabilidad de tipo cross-site scripting (XSS) almacenado, permitiendo una ejecución de código arbitrario (si la configuración CSP lo permite) después de cargar un archivo adjunto con un nombre de archivo diseñado. El código se ejecuta al editar la página del documento. • https://github.com/mantisbt/mantisbt/commit/bd094dede74ff6e313e286e949e2387233a96eea https://mantisbt.org/bugs/view.php?id=26078 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-8981
https://notcve.org/view.php?id=CVE-2020-8981
A cross-site scripting (XSS) vulnerability was discovered in the Source Integration plugin before 1.6.2 and 2.x before 2.3.1 for MantisBT. The repo_delete.php Delete Repository page allows execution of arbitrary code via a repo name (if CSP settings permit it). This is related to CVE-2018-16362. Se detectó una vulnerabilidad de tipo cross-site scripting (XSS) en el plugin Source Integration versiones anteriores a 1.6.2 y versiones 2.x anteriores a 2.3.1, para MantisBT. La página Delete Repository repo_delete.php permite una ejecución de código arbitrario por medio de un nombre repo (si la configuración de CSP lo permite). • https://github.com/mantisbt-plugins/source-integration/commit/270675c964c675829fe010f9f0830521dc0835f0 https://github.com/mantisbt-plugins/source-integration/issues/338 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2009-2802
https://notcve.org/view.php?id=CVE-2009-2802
MantisBT 1.2.x before 1.2.2 insecurely handles attachments and MIME types. Arbitrary inline attachment rendering could lead to cross-domain scripting or other browser attacks. MantisBT versiones 1.2.x anteriores a 1.2.2, maneja de manera no segura los archivos adjuntos y los tipos MIME. Una renderización arbitraria de archivos adjuntos en línea podría conllevar a un ataque de tipo cross-domain scripting u otros ataques del navegador. • https://mantisbt.org/blog/archives/mantisbt/113 https://mantisbt.org/bugs/view.php?id=11952 https://security-tracker.debian.org/tracker/CVE-2009-2802 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2013-1811
https://notcve.org/view.php?id=CVE-2013-1811
An access control issue in MantisBT before 1.2.13 allows users with "Reporter" permissions to change any issue to "New". Un problema de control de acceso en MantisBT versiones anteriores a 1.2.13, permite a usuarios con permisos de "Reporter" cambiar cualquier problema a "New". • http://www.debian.org/security/2015/dsa-3120 http://www.openwall.com/lists/oss-security/2013/03/03/6 http://www.openwall.com/lists/oss-security/2013/03/04/9 https://mantisbt.org/bugs/view.php?id=15258 https://security-tracker.debian.org/tracker/CVE-2013-1811 • CWE-20: Improper Input Validation •
CVE-2013-1934
https://notcve.org/view.php?id=CVE-2013-1934
A cross-site scripting (XSS) vulnerability in the configuration report page (adm_config_report.php) in MantisBT 1.2.0rc1 before 1.2.14 allows remote authenticated users to inject arbitrary web script or HTML via a complex value. Una vulnerabilidad de tipo cross-site scripting (XSS) en la página de reporte de la configuración (archivo adm_config_report.php) en MantisBT versiones 1.2.0rc1 anteriores a 1.2.14, permite a usuarios autenticados remotos inyectar script web o HTML arbitrario por medio de un valor complejo. • http://www.debian.org/security/2015/dsa-3120 http://www.openwall.com/lists/oss-security/2013/04/09/1 https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2013-1934 https://mantisbt.org/bugs/view.php?id=15416 https://security-tracker.debian.org/tracker/CVE-2013-1934 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •