CVE-2026-42070
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 - wyżej niż 17% wszystkich znanych CVE
Streszczenie
Mantis Bug Tracker (MantisBT) to otwartoźródłowy system śledzenia problemów. W wersjach przed 2.28.2 funkcja mc_issue_update() pozwala użytkownikom z dostępem update_bug_threshold (UPDATER, z domyślnymi ustawieniami) na edytowanie, zmianę stanu widoku oraz modyfikację śledzenia czasu w notatkach błędów należących do innych użytkowników, omijając domyślny próg DEVELOPER (poziom 55) wymagany przez dedykowaną funkcję mc_issue_note_update().
Ocena ryzyka
Organizacja może być narażona na nieautoryzowane zmiany w notatkach błędów, co może prowadzić do utraty integralności danych oraz zaufania do systemu. Użytkownicy mogą manipulować informacjami o błędach, co może wpłynąć na procesy zarządzania projektami.
Rekomendacja
Zaleca się aktualizację MantisBT do wersji 2.28.2 lub nowszej, aby usunąć tę podatność. Należy również rozważyć przegląd i dostosowanie uprawnień użytkowników w systemie.
Oryginalny opis (angielski, źródło NVD)
Mantis Bug Tracker (MantisBT) is an open source issue tracker. Prior to 2.28.2, the mc_issue_update() function in MantisBT allows users having update_bug_threshold access (UPDATER, with default settings) to edit, change view state, and modify time tracking on bugnotes belonging to other users — bypassing the default DEVELOPER (level 55) threshold required by the dedicated mc_issue_note_update() function. This vulnerability is fixed in 2.28.2.

