Vulnerabilidad en Mantis (CVE-2008-3102)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
24/09/2008
Última modificación:
11/10/2018
Descripción
Mantis versiones 1.1.x hasta 1.1.2 y versiones 1.2.x hasta 1.2.0a2, no establece el flag de seguridad para la cookie de sesión en https, lo que puede causar que la cookie se envíe en peticiones http y haga mas fácil para los atacantes remotos la captura esta cookie.
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:mantisbt:mantisbt:1.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mantisbt:mantisbt:1.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mantisbt:mantisbt:1.1.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mantisbt:mantisbt:1.2.0a1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:mantisbt:mantisbt:1.2.0a2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://int21.de/cve/CVE-2008-3102-mantis.html
- http://secunia.com/advisories/32243
- http://secunia.com/advisories/32330
- http://secunia.com/advisories/32975
- http://securityreason.com/securityalert/4298
- http://www.gentoo.org/security/en/glsa/glsa-200812-07.xml
- http://www.securityfocus.com/archive/1/496625/100/0/threaded
- http://www.securityfocus.com/archive/1/496684/100/0/threaded
- http://www.securityfocus.com/bid/31344
- https://exchange.xforce.ibmcloud.com/vulnerabilities/45395
- https://www.redhat.com/archives/fedora-package-announce/2008-October/msg00504.html
- https://www.redhat.com/archives/fedora-package-announce/2008-October/msg00648.html