Mozilla Bugzilla 'Search.pm' 权限许可和访问控制漏洞 CVE-2010-2756 CNNVD-201008-148

5.0 AV AC AU C I A
发布: 2010-08-16
修订: 2010-09-08

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。 Bugzilla 2.19.1至3.2.7版本,3.3.1至3.4.7版本,3.5.1至3.6.1版本,以及3.7至3.7.2版本中的Search.pm存在漏洞。正常情况下非特权用户是不允许查看其他用户的组所有权,但布尔表允许用户使用基于组的代词,间接泄露组所有权。远程攻击者可以借助涉及搜索界面,布尔图表和基于组的代词的向量确定任意用户的组成员身份。

0%
暂无可用Exp或PoC
当前有78条受影响产品信息