CVE-2003-1046 (CNNVD-200408-185)
中文标题:
Bugzilla多个安全漏洞
英文标题:
describecomponents.cgi in Bugzilla 2.17.3 and 2.17.4 does not properly verify group membership when ...
漏洞描述
中文描述:
Bugzilla是一款基于WEB的程序错误漏洞跟踪系统。 Bugzilla存在多个安全问题,远程攻击者可以利用这个漏洞进行SQL注入攻击,访问受限数据等攻击。 具体问题如下: 1、特权用户可进行SQL注入攻击: 用户拥有'editproducts'权限(一般是管理员)通过对产品赋予特殊名而能选择任意SQL由统计cron作业(collectstats.pl)运行。 2、特权用户可进行SQL注入攻击: 用户拥有'editkeywords'权限(一般是管理员)可通过用于编辑已存在关键词的URL注入任意SQL。 3、权限错误处理: 当删除一个产品时,在editproducts.cgi操作删除后,groupbit位对所有成员设置为0(profiles.groupset),而blessgrouset字段没有更新。当建立一个新的产品时会获取这个旧的bitnumber。 4、信息泄露: 如果知道投递安全漏洞的某人的EMAIL地址,就可以访问这个安全问题的概要,即使访问者本来没有查看这个错误的权限。 5、信息泄露: describecomponents.cgi使用AnyDefaultGroups()来判断在显示可用产品列表前检查CanEnterProducts(),如果所以产品以Mandatory/Mandatory组控制定义,AnyDefaultGroups()返回错误,用户会获得所有产品列表,即使用户本来不能查看这些信息。
英文描述:
describecomponents.cgi in Bugzilla 2.17.3 and 2.17.4 does not properly verify group membership when bug entry groups are used, which allows remote attackers to list component descriptions for otherwise restricted products.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| mozilla | bugzilla | 2.4 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.4:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.6 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.6:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.8 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.8:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.10 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.10:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.12 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.12:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.14 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.14:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.14.1 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.14.1:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.14.2 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.14.2:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.14.3 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.14.3:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.14.4 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.14.4:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.14.5 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.14.5:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.16 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.16:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.16.1 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.16.1:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.16.2 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.16.2:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.16.3 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.16.3:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.17.1 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.17.1:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.17.3 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.17.3:*:*:*:*:*:*:*
|
| mozilla | bugzilla | 2.17.4 | - | - |
cpe:2.3:a:mozilla:bugzilla:2.17.4:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2003-1046 |
2025-11-11 15:17:27 | 2025-11-11 07:32:19 |
| NVD | nvd_CVE-2003-1046 |
2025-11-11 14:50:38 | 2025-11-11 07:41:06 |
| CNNVD | cnnvd_CNNVD-200408-185 |
2025-11-11 15:08:43 | 2025-11-11 07:48:54 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200408-185
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
- cvss_score: 未提取 -> 7.5
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 18
- data_sources: ['cve'] -> ['cve', 'nvd']