CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-41897

MediumCVSS 5.3
Published: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.28%

20th percentile - higher than 20% of all known CVEs

Summary

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia błędów. W wersjach od 1.0.0 do 2.28.1 brak walidacji parametru filter_target w pliku return_dynamic_filters.php umożliwia atakującemu wstrzyknięcie dowolnego kodu HTML, jeśli celem jest niestandardowe pole TEXTAREA. Ta podatność została naprawiona w wersji 2.28.2.

Risk Assessment

Brak walidacji może prowadzić do ataków XSS, co stwarza ryzyko kradzieży danych użytkowników oraz przejęcia sesji. Organizacje mogą być narażone na utratę reputacji oraz zaufania klientów.

Recommendation

Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych luk.

Original NVD description (English source)

Mantis Bug Tracker (MantisBT) is an open source issue tracker. From 1.0.0 to 2.28.1, lack of validation of filter_target parameter on return_dynamic_filters.php (normally used as an AJAX in View Issues Page) allows an attacker to inject arbitrary HTML if the target is a TEXTAREA custom field. This vulnerability is fixed in 2.28.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS