Bugzilla — система отслеживания ошибок для UNIX и Windows систем. 

В программе обнаружено несколько уязвимостей: 

Функция ‘usebuggroups’ в Bugzilla позволяет сайтам
отслеживать ошибки для каждого продукта, и позволяет администраторам ограничивать доступ к ошибкам по каждому продукту отдельно. Когда новая программа добавляется к сайту, который имеет много групп ошибок, группа будет создана с дополнительным набором привилегий. Любые новые пользователи, которые добавляются к этой группе, автоматически получат доступ к другим привилегиям группы. 

Bugzilla уязвима к внедрению SQL кода. Уязвимость связанна с недостаточной фильтрацией апострофов (‘) в адресах электронной почты в процессе создания учетной
записи. Нападающий может изменить логику SQL запросов, потенциально приводящих к раскрытию чувствительной информации или искажению базы данных.  

При определенных обстоятельствах, возможно выполнить произвольный код на Bugzilla сервере. Пользователь может внедрить злонамеренные записи в базу данных Bugzilla, которые будут обработаны сценарием bugzilla_email_append.pl. Злонамеренно отформатированные данные к этому сценарию позволяют
выполнить произвольные команды. 

Уязвимость обнаружена в Bugzilla 2.14-2.16.



Оставить мнение