Plataforma
php
Componente
mantisbt/mantisbt
Corregido en
2.28.1
2.28.1
La vulnerabilidad CVE-2026-33517 es una falla de inyección de código XSS en MantisBT, detectada en versiones 2.28.0 y anteriores. Esta falla permite a un atacante inyectar código HTML y, si las políticas de seguridad de contenido (CSP) lo permiten, ejecutar JavaScript arbitrario. La vulnerabilidad fue publicada el 25 de marzo de 2026 y se recomienda actualizar a la versión 2.28.1 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para inyectar código malicioso en la aplicación MantisBT. Este código puede ser utilizado para robar información confidencial de los usuarios, como credenciales de inicio de sesión o datos personales. Además, el atacante podría utilizar el código inyectado para redirigir a los usuarios a sitios web maliciosos o para realizar acciones en nombre del usuario afectado. La inyección de JavaScript permite la ejecución de código arbitrario en el contexto del navegador del usuario, lo que amplía significativamente el potencial de daño. La severidad de esta vulnerabilidad se debe a la facilidad de explotación y al impacto potencial en la confidencialidad y la integridad de los datos.
La vulnerabilidad CVE-2026-33517 fue descubierta y reportada de forma responsable por Vishal Shukla. Actualmente no se dispone de información sobre campañas de explotación activas o la inclusión de esta vulnerabilidad en el KEV de CISA. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. La publicación pública de la vulnerabilidad el 25 de marzo de 2026 indica que existe un riesgo potencial de explotación.
Organizations using MantisBT for project management, particularly those with sensitive data or critical workflows, are at risk. Shared hosting environments where multiple MantisBT instances are installed on the same server are also at increased risk, as a compromise of one instance could potentially lead to the compromise of others.
• php / server:
grep -r "sprintf($s_tag_delete_message, %1\$s)" -- lang/• generic web:
curl -I http://your-mantisbt-instance/tag_delete.php?tag=alert('XSS')• generic web:
Check MantisBT language files for the vulnerable string $stagdelete_message containing %1$s.
disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Para mitigar el riesgo asociado con CVE-2026-33517, se recomienda actualizar a la versión 2.28.1 de MantisBT tan pronto como sea posible. Si la actualización no es factible de inmediato, se pueden aplicar algunas medidas de mitigación temporales. Una opción es revertir el commit d6890320752ecf37bd74d11fe14fe7dc12335be9 que introdujo la vulnerabilidad. Alternativamente, se puede editar manualmente los archivos de idioma para eliminar el marcador de posición sprintf %1$s de la cadena $stagdelete_message. Después de aplicar la actualización o las medidas de mitigación, es crucial verificar que la vulnerabilidad ha sido efectivamente resuelta revisando el proceso de eliminación de etiquetas y asegurándose de que no se inyecta código HTML malicioso.
Actualice MantisBT a la versión 2.28.1 o posterior. Como alternativa, revierta el commit d6890320752ecf37bd74d11fe14fe7dc12335be9 o edite manualmente los archivos de idioma para eliminar el marcador de posición sprintf `%1$s` de la cadena `$s_tag_delete_message`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33517 is a cross-site scripting (XSS) vulnerability in MantisBT versions up to 2.28.0, allowing attackers to inject malicious code.
You are affected if you are using MantisBT version 2.28.0 or earlier. Upgrade to 2.28.1 to mitigate the risk.
Upgrade to MantisBT version 2.28.1. Alternatively, revert commit d6890320752ecf37bd74d11fe14fe7dc12335be9 or manually edit language files.
While no active exploitation is currently confirmed, the vulnerability's nature makes it likely that exploits will emerge.
Refer to the MantisBT project website and security advisories for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.