N/A

Bugzilla 2.16rc1 through 2.22.7, 3.0.x through 3.3.x, 3.4.x before 3.4.12, 3.5.x, 3.6.x before 3.6.6, 3.7.x, 4.0.x before 4.0.2, and 4.1.x before 4.1.3 does not prevent changes to the confirmation e-mail address (aka old_email field) for e-mail change notifications, which makes it easier for remote attackers to perform arbitrary address changes by leveraging an unattended workstation.

N/A

N/A

Mozilla Bugzilla邮件更改通知恶意代码执行漏洞

Bugzilla是美国Mozilla基金会开发的一套开源的缺陷跟踪系统，它可管理软件开发中缺陷的提交（new）、修复（resolve）、关闭（close）等整个生命周期。 在用户更改其电子邮件地址时，Bugzilla将获取当前电子邮件地址的可修改字段用于发送确认邮件。如果攻击者访问了另一个用户的会话，则可修改此字段造成电子邮件更改通知发送到自己的地址。这表示用户不应被通知其电子邮件地址已经被攻击者更改。 该漏洞位于以下版本中：Bugzilla 2.16rc1至2.22.7版本，3.0.x至3.3.x版本，

N/A

N/A