Bugzilla User.get()组信息泄露漏洞

BUGTRAQ ID: 56504 CVE ID: CVE-2012-4198 Bugzilla是一个开源的缺陷跟踪系统，它可以管理软件开发中缺陷的提交，修复，关闭等整个生命周期。 Bugzilla用'groups'参数调用 User.get 方法，根据是否有错误，可泄露组的存在信息。如果用户调用不属于这些组的User.get 方法，也会出现错误。 0 Mozilla Bugzilla 4.x Mozilla Bugzilla 3.x 厂商补丁： Mozilla ------- 目前厂商已经发布了升级补丁3.6.12, 4.0.9, 4.2.4, 4.4rc1...

CVE-2012-4198

The CVE-2012-4198 issue affects Bugzilla’s WebService User.get method in Bugzilla 3.7.x and 4.0.x before 4.0.9, 4.1.x and 4.2.x before 4.2.4, and 4.3.x/4.4.x before 4.4rc1. Root cause: different outcomes for a groups request depending on whether a group exists, enabling remote authenticated users...