漏洞信息详情
Mozilla Bugzilla Quip操控绕过安全限制漏洞
- CNNVD编号:CNNVD-200902-164
- 危害等级: 高危
- CVE编号: CVE-2008-6098
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2008-11-06
- 威胁类型: 远程
- 更新时间: 2009-03-25
- 厂 商: mozilla
- 漏洞来源: Robin H. Johnson
漏洞简介
Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。
Bugzilla的bug列表顶部显示一个Quip状态,所有用户都可以推荐Quip状态,但只有管理员才可以控制显示哪个状态。
quips.cgi中的代码如果得到了action=approve的话,就会认为用户希望禁用所有的quip,但没有检查用户身份,这允许非特权用户通过提交恶意的URL绕过访问检查批准或否决quip的状态。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://bugzilla.mozilla.org/attachment.cgi?id=333583
参考网址
来源: FEDORA
名称: FEDORA-2009-2417
链接:https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00687.HTML
来源: FEDORA
名称: FEDORA-2009-2418
链接:https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00664.HTML
来源: bugzilla.mozilla.org
链接:https://bugzilla.mozilla.org/show_bug.cgi?id=449931
来源: XF
名称: bugzilla-quips-security-bypass(46424)
链接:http://xforce.iss.net/xforce/xfdb/46424
来源: BID
名称: 32178
链接:http://www.securityfocus.com/bid/32178
来源: www.bugzilla.org
链接:http://www.bugzilla.org/security/2.20.6/
来源: SECUNIA
名称: 34361
链接:http://secunia.com/advisories/34361
来源: SECUNIA
名称: 32501
链接:http://secunia.com/advisories/32501
受影响实体
- Mozilla Bugzilla:2.23
- Mozilla Bugzilla:2.22.2
- Mozilla Bugzilla:2.23.1
- Mozilla Bugzilla:2.21.1
- Mozilla Bugzilla:2.18:Rc1
补丁
暂无
评论