MantisBT 操作系统命令注入漏洞

漏洞介绍

MantisBT是MantisBT团队的一套基于Web的开源缺陷跟踪系统。该系统以Web操作的形式提供项目管理及缺陷跟踪服务。

MantisBT 1.3.20之前版本和2.22.1之前版本中存在操作系统命令注入漏洞。该漏洞源于外部输入数据构造操作系统可执行命令过程中，网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。

漏洞补丁

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.mantisbt.org

参考网址

来源:CONFIRM

链接：https://github.com/mantisbt/mantisbt/commit/cebfb9acb3686e8904d80bd4bc80720b54ba08e5

来源:MISC

链接：https://mantisbt.org/bugs/changelog_page.php?project=mantisbt

来源:CONFIRM

链接：https://github.com/mantisbt/mantisbt/commit/7092573fac31eff41823f13540324db167c8bd52

来源:CONFIRM

链接：https://github.com/mantisbt/mantisbt/commit/fc7668c8e45db55fc3a4b991ea99d2b80861a14c

来源:CONFIRM

链接：https://mantisbt.org/bugs/view.php?id=26162

来源:CONFIRM

链接：https://github.com/mantisbt/mantisbt/commit/5fb979604d88c630343b3eaf2b435cd41918c501

来源:mantisbt.org

链接：https://mantisbt.org/bugs/view.php?id=26091

来源:MISC

链接：https://packetstormsecurity.com/files/159219/Mantis-Bug-Tracker-2.3.0-Remote-Code-Execution.html

来源:nvd.nist.gov

链接：https://nvd.nist.gov/vuln/detail/CVE-2019-15715

来源:packetstormsecurity.com

链接：https://packetstormsecurity.com/files/159219/Mantis-Bug-Tracker-2.3.0-Remote-Code-Execution.html

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201910-598