VULHUB ™

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。 Bugzilla 2.19.1至3.2.7版本，3.3.1至3.4.7版本，3.5.1至3.6.1版本，以及3.7至3.7.2版本中的Search.pm存在漏洞。正常情况下非特权用户是不允许查看其他用户的组所有权，但布尔表允许用户使用基于组的代词，间接泄露组所有权。远程攻击者可以借助涉及搜索界面，布尔图表和基于组的代词的向量确定任意用户的组成员身份。

Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。 Bugzilla 2.19.1至3.2.7版本，3.3.1至3.4.7版本，3.5.1至3.6.1版本，以及3.7至3.7.2版本中的Search.pm存在漏洞。正常情况下非特权用户是不允许查看其他用户的组所有权，但布尔表允许用户使用基于组的代词，间接泄露组所有权。远程攻击者可以借助涉及搜索界面，布尔图表和基于组的代词的向量确定任意用户的组成员身份。