广泛使用的bug跟踪系统Bugzilla发现了一个0day漏洞,允许任 何人浏览未修正尚未公开的漏洞细节。Bugzilla由Mozilla开发,被开源项目广泛使用,任何人都可以在Bugzilla平台创建帐户报告某个项 目的bug。安全公司Check Point Software Technologies的研究人员发现,Bugzilla的查询权限分配漏洞允许任何人使用能绕过验证的任意电子邮件注册,获得某个Bugzilla平 台的管理权限。
举例来说,使用admin@mozilla.org注册就能浏览Firefox和Mozilla相关项目的所有未公开bug。Bugzilla已经发布更新修正问题。