Bugzilla 0day漏洞曝光0day漏洞细节

jopen 6年前

广泛使用的 bug 跟踪系统 Bugzilla 发现了一个 0day 漏洞,允许任何人浏览未修正尚未公开的漏洞细节。Bugzilla 由 Mozilla 开发,被开源项目广泛使用,任何人都可以在 Bugzilla 平台创建帐户报告某个项目的 bug。安全公司 Check Point Software Technologies 的研究人员发现,Bugzilla 的查询权限分配漏洞允许任何人使用能绕过验证的任意电子邮件注册,获得某个 Bugzilla 平台的管理权限。举例来说,使用 admin@mozilla.org 注册就能浏览 Firefox 和 Mozilla 相关项目的所有未公开 bug。Bugzilla 已经发布更新修正问题

来自: Solidot