VULHUB ™

MantisBT是MantisBT团队的一套基于Web的开源缺陷跟踪系统。该系统以Web操作的形式提供项目管理及缺陷跟踪服务。 MantisBT 1.2.15及之前的版本中存在SQL注入漏洞，该漏洞源于api/soap/mc_project_api.php脚本中的‘mc_project_get_attachments’函数没有正确过滤参数；core/news_api.php脚本中的‘news_get_limited_rows’函数没有正确过滤参数；core/summary_api.php脚本中的‘summary_print_by_enum’、‘summary_print_by_age’、‘summary_print_by_developer’、‘summary_print_by_reporter’、‘summary_print_by_category’函数没有正确过滤参数；plugins/MantisGraph/core/graph_api.php脚本中的‘create_bug_enum_summary’和‘enum_bug_group’函数没有充分过滤参数。远程攻击者可利用该漏洞执行任意SQL命令。

MantisBT是MantisBT团队的一套基于Web的开源缺陷跟踪系统。该系统以Web操作的形式提供项目管理及缺陷跟踪服务。 MantisBT 1.2.15及之前的版本中存在SQL注入漏洞，该漏洞源于api/soap/mc_project_api.php脚本中的‘mc_project_get_attachments’函数没有正确过滤参数；core/news_api.php脚本中的‘news_get_limited_rows’函数没有正确过滤参数；core/summary_api.php脚本中的‘summary_print_by_enum’、‘summary_print_by_age’、‘summary_print_by_developer’、‘summary_print_by_reporter’、‘summary_print_by_category’函数没有正确过滤参数；plugins/MantisGraph/core/graph_api.php脚本中的‘create_bug_enum_summary’和‘enum_bug_group’函数没有充分过滤参数。远程攻击者可利用该漏洞执行任意SQL命令。