CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-42070

MediumCVSS 5.3
Published: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.26%

17th percentile - higher than 17% of all known CVEs

Summary

Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach przed 2.28.2 funkcja mc_issue_update() pozwala użytkownikom z dostępem update_bug_threshold (UPDATER, z domyślnymi ustawieniami) na edytowanie, zmianę stanu widoku oraz modyfikację śledzenia czasu w notatkach błędów należących do innych użytkowników, omijając domyślny próg DEVELOPER (poziom 55) wymagany przez dedykowaną funkcję mc_issue_note_update().

Risk Assessment

Organizacja może być narażona na nieautoryzowane zmiany w notatkach błędów, co może prowadzić do utraty integralności danych oraz zaufania do systemu. Użytkownicy mogą manipulować informacjami o błędach, co może wpłynąć na procesy zarządzania projektami.

Recommendation

Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd i dostosowanie uprawnień użytkowników w systemie.

Original NVD description (English source)

Mantis Bug Tracker (MantisBT) is an open source issue tracker. Prior to 2.28.2, the mc_issue_update() function in MantisBT allows users having update_bug_threshold access (UPDATER, with default settings) to edit, change view state, and modify time tracking on bugnotes belonging to other users — bypassing the default DEVELOPER (level 55) threshold required by the dedicated mc_issue_note_update() function. This vulnerability is fixed in 2.28.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS