Mantis est un outil de gestion de bugs en ligne. Il permet d’informer les développeurs des erreurs rencontrées au cours des tests.

La dernière version stable est la version 1.0.1 . Toutefois plusieurs vulnérabilités ont été identifiées dans MANTIS 1.0.1 et les versions inférieures. Elles pourraient permettre des attaques à distance par « cross site scripting ». Les failles sont présentes au niveau du script "view_all_set.php" qui ne filtre pas correctement les variables "start_day", "start_year" et "start_month". Aucun correctif n’est disponible pour le moment. D’autres vulnérabilités ont été découvertes dans les versions 1.0.0rc2 et antérieures. Elles permettent par exemple l’exécution de code SQL à distance. Le CERTA (Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques ) préconise d’utiliser Mantis version 0.19.3.

Télécharger Mantis ici.

Sources :