CVE-2026-34579 in Mantis Bug Trackerinfo

Zusammenfassung

von VulDB • 20.05.2026

Mantis Bug Tracker (MantisBT) ist ein Open-Source-Issue-Tracker. Die Versionen 2.28.1 und älter sind anfällig für eine Umgehung der Autorisierung (Authorization Bypass) über die Funktion zur Überwachung privater Issues. Durch eine speziell erstellte POST-Anfrage an bug_monitor_add.php kann ein Benutzer mit Projektzugriffsrechten sich selbst als Überwachender für ein privates Issue hinzufügen, auf das er keinen Zugriff hat. Obwohl eine Fehlermeldung „Access Denied“ angezeigt wird, akzeptiert die Anwendung die Anfrage und erstellt eine Überwachungsbeziehung für das private Issue. Der direkte Zugriff auf das private Issue bleibt weiterhin blockiert, jedoch erhält der Benutzer E-Mail-Benachrichtigungen über Updates, was zur Offenlegung der Metadaten und des Inhalts des privaten Issues führt. Dieses Problem wurde in Version 2.28.2 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

30.03.2026

Veröffentlichung

20.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364752

CPE

bereit

EPSS

0.00014

KEV

nein

Aktivitäten

very low

Sektor

Chemical, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-34579
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-34579
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-34579/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!