製品・ソフトウェアに関する情報
Vulnerability Search
TestLink におけるクロスサイトスクリプティングの脆弱性
Title TestLink におけるクロスサイトスクリプティングの脆弱性
Summary

TestLink は、lib/functions/database.class.php に関する処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。

Possible impacts 以下の影響を受ける可能性があります。  (1) 第三者により、login.php への req パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (2) リモート認証されたユーザにより、lib/general/staticPage.php への key パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (3) リモート認証されたユーザにより、lib/attachments/attachmentupload.php への tableName パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (4) リモート認証されたユーザにより、lib/events/eventviewer.php への startDate パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (5) リモート認証されたユーザにより、lib/events/eventviewer.php への endDate パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (6) リモート認証されたユーザにより、lib/events/eventviewer.php への logLevel パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (7) リモート認証されたユーザにより、lib/results/resultsMoreBuilds_buildReport.php への search_notes_string パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (8) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの expected_results パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (9) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの name パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (10) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの steps パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性  (11) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの summary パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date Dec. 10, 2009, midnight
Registration Date Dec. 20, 2012, 7:28 p.m.
Last Update Dec. 20, 2012, 7:28 p.m.
CVSS2.0 : 注意
Score 3.5
Vector AV:N/AC:M/Au:S/C:N/I:P/A:N
Affected System
TestLink Development Team
TestLink 1.8.5 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2009-4237
Summary

Multiple cross-site scripting (XSS) vulnerabilities in TestLink before 1.8.5 allow remote attackers to inject arbitrary web script or HTML via (1) the req parameter to login.php, and allow remote authenticated users to inject arbitrary web script or HTML via (2) the key parameter to lib/general/staticPage.php, (3) the tableName parameter to lib/attachments/attachmentupload.php, or the (4) startDate, (5) endDate, or (6) logLevel parameter to lib/events/eventviewer.php; (7) the search_notes_string parameter to lib/results/resultsMoreBuilds_buildReport.php; or the (8) expected_results, (9) name, (10) steps, or (11) summary parameter in a find action to lib/testcases/searchData.php, related to lib/functions/database.class.php.

Publication Date Dec. 11, 2009, 8:30 a.m.
Registration Date Jan. 29, 2021, 1:26 p.m.
Last Update Feb. 14, 2024, 10:17 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:teamst:testlink:1.7:*:*:*:*:*:*:*
cpe:2.3:a:teamst:testlink:1.7.1:*:*:*:*:*:*:*
cpe:2.3:a:teamst:testlink:1.8.0:*:*:*:*:*:*:*
cpe:2.3:a:teamst:testlink:1.8.3:*:*:*:*:*:*:*
cpe:2.3:a:teamst:testlink:*:*:*:*:*:*:*:* 1.8.4
cpe:2.3:a:teamst:testlink:1.8:rc1:*:*:*:*:*:*
cpe:2.3:a:teamst:testlink:1.8.2:*:*:*:*:*:*:*
cpe:2.3:a:teamst:testlink:1.8.1:*:*:*:*:*:*:*
cpe:2.3:a:teamst:testlink:1.7.4:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List