CVE-2026-34579 in Mantis Bug Trackerالمعلومات

الملخص

بحسب VulDB • 20/05/2026

Mantis Bug Tracker (MantisBT) هو نظام تتبع المشكلات مفتوح المصدر. الإصدارات 2.28.1 وما قبلها تعاني من ثغرة تجاوز التفويض (Authorization Bypass) عبر ميزة مراقبة المشكلات الخاصة. باستخدام طلب POST مُعدّ بعناية موجه إلى bug_monitor_add.php، يمكن لمستخدم لديه وصول على مستوى المشروع أن يضيف نفسه كمراقب لمشكلة خاصة لا يمتلك حق الوصول إليها. وعلى الرغم من ظهور رسالة خطأ "تم رفض الوصول" (Access Denied)، فإن التطبيق يقبل الطلب وينشئ علاقة مراقبة للمشكلة الخاصة. يظل الوصول المباشر إلى المشكلة الخاصة محجوباً، لكن المستخدم سيتلقى إشعارات بالبريد الإلكتروني بشأن التحديثات، مما يؤدي إلى الكشف عن بيانات التعريف (metadata) ومحتوى المشكلة الخاصة. تم إصلاح هذه المشكلة في الإصدار 2.28.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

30/03/2026

إفشاء

20/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-364752

CPE

جاهز

CWE

CWE-863 (مؤكد)

CVSS

4.3 (VulDB)

EPSS

0.00014

KEV

لا

النشاطات

منخفض جدًا

القطاع

Insurance, Chemical, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-34579
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-34579
CVE Details	https://www.cvedetails.com/cve/CVE-2026-34579/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!