Bugzilla BUG列表含绕过安全限制及跨站脚本漏洞

Bugzilla BUG列表含绕过安全限制及跨站脚本漏洞 受影响系统：
Mozilla Bugzilla 3.1.3
Mozilla Bugzilla 2.17.2

不受影响系统：
Mozilla Bugzilla 3.1.4
Mozilla Bugzilla 3.0.4
Mozilla Bugzilla 2.22.4
Mozilla Bugzilla 2.20.6

描述：
Bugzilla是很多软件项目都在使用的基于Web的BUG跟踪系统。

Bugzilla在处理用户请求时存在输入验证漏洞，远程安全者可能利用此漏洞执行跨站脚本安全或获取非授权访问。

在使用BUG列表的Format for Printing或Long Format时，没有过滤$bugids等参数的输入便返回给了用户，这可能允许安全者执行跨站脚本安全，在用户浏览器会话中执行任意HTML和脚本代码。

Bug->create()没有确保用户所输入的BUG状态是基于权限合法的，没有canconfirm权限的用户可以通过XML-RPC接口输入NEW或ASSIGNED状态的BIG。

厂商补丁：
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.bugzilla.org/download/