Es befinden sich insgesamt drei Sicherheitslücken in Bugzilla 3.x und 4.x. Sie lassen sich für Umgehung der Sicherheitsrichtlinien und Cross Site Scripting ausnutzen. Betroffen ist die Methode User.offer_account_by_email, die den Wert user_can_create_account nicht ausreichend überprüft.
Ein weiterer Fehler liegt in der Datei chart.cgi. Wenn debug auf 1 gesetzt ist, wird der label0-Parameter nicht ausreichend überprüft, bevor dieser an den Anwender zurückgegeben wird. Somit könnte sich beliebiger HTML- und Script-Code in der Browser-Sitzung eines Anwenders ausführen lassen. Eine ähnliche Schwachstelle ist auch in der Datei report.cgi enthalten.
Anwender sollten auf die Versionen 3.4.13, 3.6.7, 4.0.3 oder 4.2 (sobald verfügbar) aktualisieren: bugzilla.org, bugzilla.mozilla.org, bugzilla.mozilla.org (jdo)