MantisBT 2.10.0 allows local users to conduct SQL Injection attacks via the vendor/adodb/adodb-php/server.php sql parameter in a request to the 127.0.0.1 IP address. NOTE: the vendor disputes the significance of this report because server.php is intended to execute arbitrary SQL statements on behalf of authenticated users from 127.0.0.1, and the issue does not have an authentication bypass
** EN DISPUTA ** MantisBT 2.10.0 permite que usuarios locales lleven a cabo ataques de inyección SQL mediante el parámetro sql en vendor/adodb/adodb-php/server.php en una petición a la dirección IP 127.0.0.1. NOTA: el fabricante discute la importancia de este informe porque se supone que server.php debe ejecutar instrucciones SQL arbitrarias en nombre de usuarios autenticados de 127.0.0.1 y que este problema no tiene una omisión de autenticación.
