Teamst TestLink多个跨站脚本漏洞

CNNVD-ID编号	CNNVD-200912-154
CVE编号	CVE-2009-4237
发布时间	2009-12-10
更新时间	2009-12-11
漏洞类型	跨站脚本
漏洞来源	Pablo Annetta from Core Security Technologies
危险等级	低危
威胁类型	远程
厂商	teamst

漏洞介绍

TestLink中存在多个跨站脚本漏洞，远程攻击者借助(1)login.php中的req参数注入任意 web脚本或HTML以及远程验证用户(2)lib/general/staticPage.php中的key参数, (3)lib/attachments/attachmentupload.php中的tableName参数, 或(4) startDate, (5) endDate,或(6) lib/events/eventviewer.php中的logLevel参数；(7)lib/results/resultsMoreBuilds_buildReport.php中的search_notes_string参数；或(8) expected_results, (9) name, (10) steps,或(11)lib/testcases/searchData.php的一个查找操作中与lib/functions/database.class.php相关的summary参数,注入任意 web脚本或HTML。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

TestLink TestLink 0

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.8 RC1

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.7

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.7.1

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.7.4

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.8

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.8.1

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.8.2

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.8.3

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

TestLink TestLink 1.8.4

TestLink testlink_1.8.5.zip

http://sourceforge.net/projects/testlink/files/TestLink%201.8/TestLink %201.8.5/testlink_1.8.5.zip/download

参考网址

来源: www.teamst.org

链接：http://www.teamst.org/index.php?option=com_content&task=view&id=84&Itemid=2
来源: BID

名称: 37258

链接：http://www.securityfocus.com/bid/37258
来源: MISC

链接：http://www.coresecurity.com/content/testlink-multiple-injection-vulnerabilities
来源: OSVDB

名称: 60918

链接：http://osvdb.org/60918
来源: OSVDB

名称: 60917

链接：http://osvdb.org/60917
来源: OSVDB

名称: 60916

链接：http://osvdb.org/60916
来源: OSVDB

名称: 60915

链接：http://osvdb.org/60915
来源: OSVDB

名称: 60914

链接：http://osvdb.org/60914

受影响实体

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200912-154

行业资讯-文章归档问答-问答归档