CVE-2026-41897
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 - wyżej niż 20% wszystkich znanych CVE
Streszczenie
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia błędów. W wersjach od 1.0.0 do 2.28.1 brak walidacji parametru filter_target w pliku return_dynamic_filters.php umożliwia atakującemu wstrzyknięcie dowolnego kodu HTML, jeśli celem jest niestandardowe pole TEXTAREA. Ta podatność została naprawiona w wersji 2.28.2.
Ocena ryzyka
Brak walidacji może prowadzić do ataków XSS, co stwarza ryzyko kradzieży danych użytkowników oraz przejęcia sesji. Organizacje mogą być narażone na utratę reputacji oraz zaufania klientów.
Rekomendacja
Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych luk.
Oryginalny opis (angielski, źródło NVD)
Mantis Bug Tracker (MantisBT) is an open source issue tracker. From 1.0.0 to 2.28.1, lack of validation of filter_target parameter on return_dynamic_filters.php (normally used as an AJAX in View Issues Page) allows an attacker to inject arbitrary HTML if the target is a TEXTAREA custom field. This vulnerability is fixed in 2.28.2.

