Bugzilla是一种流行的开源软件Bug跟踪系统。
Bugzilla的实现上存在漏洞,远程攻击者可能利用此漏洞非授权创建帐户获取对系统的访问。
Bugzilla的User.pm模块的offer_account_by_email()函数没有对createemailregexp参数做充分的检查过滤,如果系统上安装了SOAP::Lite Perl模块,那么远程攻击者可能利用此漏洞在系统上创建Bugzilla用户帐号,从而获取对系统的访问。
Mozilla Bugzilla < 3.1.2
Mozilla Bugzilla < 3.0.2
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href=“http://www.bugzilla.org/download/” target=“_blank”>http://www.bugzilla.org/download/</a>