Zurück zur Liste

MantisBT Has Authorization Bypass in Global Profile Creation — CVE-2026-33052

GitHub · GitHub · CVE-2026-33052

ID
CVE-2026-33052
Datum
Aktualisiert
Activity
Quelle
GitHub
Vendor
GitHub
Risiko
medium
CVSS
5.3

Zusammenfassung

MantisBT allows a low-privileged authenticated user having *add_profile_threshold* to create a global profile despite not having *manage_global_profile_threshold*, by tampering with the user_id parameter in a valid profile creation request. ### Impact Authentication bypass ### Patches - 3f952e68fa864e0e60abc3e84adecf3cfa84c75e ### Workarounds None ### Credits Thanks to Vishal Shukla for discovering and responsibly…

Produkt

composer: mantisbt/mantisbt

Was tun?

Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):

  • Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
  • Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
  • Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
  • Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.

Offizielles Advisory

Mehr dazu

GitHub GitHub 2026-W21