Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。 Bugzilla中存在CRLF注入漏洞。Bugzilla通常发送两种类型的电子邮件通知:bugmails和flagmails。bugmails是标准电子邮件用户在bug更改时收到的。flagmails仅发送给旗标要求者或旗标请求者。对于flagmails,附件说明中有新行可导致在编辑旗标时在通知中注入特制标头。仅收到bugmail的用户不会受到影响。 该漏洞位于以下版本中:Bugzilla 2.17.1至2.22.7版本,3.0.x至3.3.x版本,3.4.12之前的3.4.x版本,3.5.x版本,3.6.6之前的3.6.x版本,3.7.x版本,4.0.2之前的4.0.x版本和4.1.3之前的4.1.x版本。
Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统,它可管理软件开发中缺陷的提交(new)、修复(resolve)、关闭(close)等整个生命周期。 Bugzilla中存在CRLF注入漏洞。Bugzilla通常发送两种类型的电子邮件通知:bugmails和flagmails。bugmails是标准电子邮件用户在bug更改时收到的。flagmails仅发送给旗标要求者或旗标请求者。对于flagmails,附件说明中有新行可导致在编辑旗标时在通知中注入特制标头。仅收到bugmail的用户不会受到影响。 该漏洞位于以下版本中:Bugzilla 2.17.1至2.22.7版本,3.0.x至3.3.x版本,3.4.12之前的3.4.x版本,3.5.x版本,3.6.6之前的3.6.x版本,3.7.x版本,4.0.2之前的4.0.x版本和4.1.3之前的4.1.x版本。