Bugzilla - система отслеживания ошибок для UNIX и Windows систем.
В программе обнаружено несколько уязвимостей:
Функция 'usebuggroups' в Bugzilla позволяет сайтам
отслеживать ошибки для каждого продукта, и позволяет администраторам ограничивать доступ к ошибкам по каждому продукту отдельно. Когда новая программа добавляется к сайту, который имеет много групп ошибок, группа будет создана с дополнительным набором привилегий. Любые новые пользователи, которые добавляются к этой группе, автоматически получат доступ к другим привилегиям группы.
Bugzilla уязвима к внедрению SQL кода. Уязвимость связанна с недостаточной фильтрацией апострофов (') в адресах электронной почты в процессе создания учетной
записи. Нападающий может изменить логику SQL запросов, потенциально приводящих к раскрытию чувствительной информации или искажению базы данных.
При определенных обстоятельствах, возможно выполнить произвольный код на Bugzilla сервере. Пользователь может внедрить злонамеренные записи в базу данных Bugzilla, которые будут обработаны сценарием bugzilla_email_append.pl. Злонамеренно отформатированные данные к этому сценарию позволяют
выполнить произвольные команды.
Уязвимость обнаружена в Bugzilla 2.14-2.16.
