Bugzilla es una conocida herramienta Web la cual se utiliza en muchos proyectos para dar seguimiento a errores/bugs, es muy popular en el uso del software libre. Recientemente se han reportado múltiples vulnerabilidades en Bugzilla, las cuales permitirían a un atacante inyectar código arbitrario, comandos de consola o robar información privada.
Estas vulnerabilidades se deben a distintos fallos; la primera que permitiría inyectar código arbitrario es causada por un error al momento de validar datos del campo buildid. La segunda se debe a un error al validar entradas en la función Email::Send::Sendmail, y permitiría la inyección de comandos de consola. El último que permitiría al atacante robar información privada es causado por un error de restricción de campos en la interfaz WebService (XML-RPC).
Ya se han publicado las respectivas actualizaciones de Bugzilla que solucionan estos problemas de seguridad; 2.20.5, 2.22.3 y 3.0.1, así que se recomienda actualizar.
Información | Múltiples vulnerabilidades en Bugzilla 2.x y 3.x
