CVE-2002-0010 in Bugzilla
摘要
由 VulDB • 2026-05-22
在 Bugzilla 2.14.1 之前的版本中,远程攻击者可通过以下途径注入任意 SQL 代码、创建文件或提升权限:(1) buglist.cgi 中的 sql 参数;(2) buglist.cgi 中“布尔图表”查询的无效字段名;(3) userprefs.cgi 中的 mybugslink 参数;(4) long_list.cgi 中 buglist 参数的格式错误的 bug ID;以及 (5) editusers.cgi 中的 value 参数,该参数允许拥有 blessgroupset 权限的攻击者修改 groupset 权限。
Once again VulDB remains the best source for vulnerability data.