漏洞信息详情

Request Tracker Email头注入漏洞

• CNNVD编号：CNNVD-201210-679
• 危害等级： 低危
  
• CVE编号： CVE-2012-4730
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2012-10-30
• 威胁类型： 远程
• 更新时间： 2012-10-30
• 厂        商： bestpractical
• 漏洞来源： Scott MacVicar, Ma...

漏洞简介

Best Practical Solutions Request Tracker（RT）是美国Best Practical Solutions公司的一套企业级开源问题跟踪系统。该系统具有Bug跟踪、客户服务、自定义工作流等功能。

Request Tracker (RT)早期版本至3.8.15以及4.0.8版本中存在Email头注入漏洞。攻击者利用该漏洞通过ModifySelf或AdminUser权限用户可向发送邮件上添加任意头或内容，导致敏感信息泄露或钓鱼。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://lists.bestpractical.com/pipermail/rt-announce/2012-October/000212.HTML

参考网址

来源: MLIST

名称: [rt-announce] 20121025 Security vulnerabilities in RT

链接:http://lists.bestpractical.com/pipermail/rt-announce/2012-October/000212.HTML

来源:SECUNIA

名称:51065

链接:http://secunia.com/advisories/51065

来源:SECUNIA

名称:51112

链接:http://secunia.com/advisories/51112

来源: BID

名称: 56290

链接:http://www.securityfocus.com/bid/56290

受影响实体

• Bestpractical Rt:3.8.3:Rc1  
• Bestpractical Rt:3.8.0:Rc2  
• Bestpractical Rt:3.8.4  
• Bestpractical Rt:3.8.0:Rc1  
• Bestpractical Rt:3.8.0:Rc3  

补丁

• rt-4.0.8
• rt-3.8.15