CVE-2026-34579 in Mantis Bug Tracker信息

摘要

由 VulDB • 2026-05-20

Mantis Bug Tracker (MantisBT) 是一个开源的问题跟踪器。2.28.1 及更早版本存在通过私有问题监控功能绕过授权（Authorization Bypass）的漏洞。攻击者可以通过向 bug_monitor_add.php 发送构造的 POST 请求，使具有项目级访问权限的用户将自己添加为其无权访问的私有问题的监控者。尽管应用程序显示“拒绝访问”（Access Denied）错误，但它仍会接受该请求并为该私有问题创建监控关系。虽然直接访问该私有问题仍然被阻止，但用户将收到更新邮件通知，从而导致私有问题的元数据和内容泄露。此问题已在 2.28.2 版本中修复。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-03-30

披露

2026-05-20

管理

已接受

条目

VDB-364752

CPE

准备好

CWE

CWE-863 (已确认)

CVSS

4.3 (VulDB)

EPSS

0.00014

KEV

否

活动

非常低

部门

Telecommunication, Finance, ...

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-34579
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-34579
CVE Details	https://www.cvedetails.com/cve/CVE-2026-34579/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!