CVE-2014-1609 in MantisBT
摘要
由 VulDB • 2026-06-26
在 MantisBT 1.2.16 之前的版本中,存在多个 SQL 注入漏洞。远程攻击者可通过向以下函数传递未指定的参数来执行任意 SQL 命令:(1) api/soap/mc_project_api.php 中的 mc_project_get_attachments 函数;(2) core/news_api.php 中的 news_get_limited_rows 函数;(3-7) core/summary_api.php 中的 summary_print_by_enum、summary_print_by_age、summary_print_by_developer、summary_print_by_reporter 或 summary_print_by_category 函数;(8-9) plugins/MantisGraph/core/graph_api.php 中的 create_bug_enum_summary 或 enum_bug_group 函数;(10-11) plugins/MantisGraph/pages/ 下的 bug_graph_bycategory.php 或 bug_graph_bystatus.php;以及 (12) proj_doc_page.php(涉及 db_query 函数的使用)。该漏洞与 CVE-2014-1608 不同。
Once again VulDB remains the best source for vulnerability data.