Bugzilla 'show_bug.cgi'信息泄漏漏洞

2009-08-05T00:00:00
ID SSV:11981
Type seebug
Reporter Root
Modified 2009-08-05T00:00:00

Description

Bugraq ID: 35916

Bugzilla是一款基于Web的BUG跟踪系统。 show_bug.cgi脚本存在漏洞,如果用户拥有可编辑产品缺陷的权限,可获得本来不可见的所有产品名信息。 通过如下方法可以重现: 1,建立2个产品:prod1和prod2 2,显示user1只能访问prod1 3,尝试编辑自己的缺陷(bug)并能在combobox中看到所有产品。

Mozilla Bugzilla 3.3.4 Mozilla Bugzilla 3.4 rc1 Mozilla Bugzilla 3.4 厂商解决方案 用户可升级到最新版本: Mozilla Bugzilla 3.4 rc1 Mozilla bugzilla-3.4.1.tar.gz http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.1.tar.gz Mozilla Bugzilla 3.4 Mozilla bugzilla-3.4.1.tar.gz http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.1.tar.gz Mozilla Bugzilla 3.3.4 Mozilla bugzilla-3.4.1.tar.gz http://ftp.mozilla.org/pub/mozilla.org/webtools/bugzilla-3.4.1.tar.gz