漏洞信息详情

Mantis Bug Tracker ‘filter_api.php’拒绝服务漏洞

• CNNVD编号：CNNVD-201303-456
• 危害等级： 中危
  
• CVE编号： CVE-2013-1883
• 漏洞类型： 输入验证
• 发布时间： 2013-03-22
• 威胁类型： 远程
• 更新时间： 2014-05-29
• 厂        商： mantisbt
• 漏洞来源： jjtest

漏洞简介

Mantis Bug Tracker（也称MantisBT）是MantisBT团队的一套基于Web的开源缺陷跟踪系统。该系统以Web操作的形式提供项目管理及缺陷跟踪服务。

Mantis Bug Tracker 1.2.15之前的1.2.12版本中存在安全漏洞，该漏洞源于filter_api.php脚本中存在错误。远程攻击者可通过View Issues页面搜索查询利用该漏洞造成拒绝服务（内存资源耗尽）。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.mantisbt.org/bugs/view.php?id=15573

参考网址

来源:www.mantisbt.org

链接:http://www.mantisbt.org/bugs/view.php?id=15573

来源:github.com

链接:https://github.com/mantisbt/mantisbt/commit/d16988c3ca232a7

来源:MLIST

名称:[oss-security] 20130322 Re: CVE request: MantisBT text search query can crash site

链接:http://www.openwall.com/lists/oss-security/2013/03/22/2

来源:XF

名称:mantisbt-filterapi-dos(83347)

链接:http://xforce.iss.net/xforce/xfdb/83347

来源:bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=924340

来源:BID

名称:58626

链接:http://www.securityfocus.com/bid/58626

受影响实体

• Mantisbt Mantisbt:1.2.14  
• Mantisbt Mantisbt:1.2.13  
• Mantisbt Mantisbt:1.2.12  

补丁

• mantisbt-1.2.15
• mantisbt-1.2.15