NVD Vulnerability Detail

Search Exploit, PoC

Exploit DB

NVD脆弱性検索トップ

->

NVD Vulnerability Detail

CVE-2014-4857

Summary	Cross-site scripting (XSS) vulnerability in Gurock TestRail before 3.1.3 allows remote attackers to inject arbitrary web script or HTML via the Created By field in a project activity.
Publication Date	July 27, 2014, 12:55 a.m.
Registration Date	Jan. 26, 2021, 3:13 p.m.
Last Update	Nov. 21, 2024, 11:10 a.m.

CVSS2.0 : MEDIUM
Score	4.3
Vector	AV:N/AC:M/Au:N/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	はい

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:gurock:testrail::::::::			3.1.1.3130

Related information, measures and tools

No	URL	refsource	タグ
1	http://forum.gurock.com/topic/1652/testrail-313-released/		Vendor Advisory
2	http://forum.gurock.com/topic/1652/testrail-313-released/		Vendor Advisory
3	http://www.kb.cert.org/vuls/id/669804		Third Party Advisory US Government Resource
4	http://www.kb.cert.org/vuls/id/669804		Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

JVN Vulnerability Information

TestRail にクロスサイトスクリプティングの脆弱性

Title	TestRail にクロスサイトスクリプティングの脆弱性
Summary	Gurock Software が提供する TestRail には、クロスサイトスクリプティングの脆弱性が存在します。 Gurock Software が提供する TestRail は、ウェブベースのテスト管理システムです。TestRail には、格納型のクロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') https://cwe.mitre.org/data/definitions/79.html
Possible impacts	ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、Testrail 3.1.3 へアップデートしてください。 TestRail 3.1.3 http://forum.gurock.com/topic/1652/testrail-313-released/
Publication Date	July 24, 2014, midnight
Registration Date	July 25, 2014, 3:46 p.m.
Last Update	July 30, 2014, 1:33 p.m.

Affected System

Gurock Software GmbH

TestRail バージョン 3.1.1.3130

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-4857	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4857
National Vulnerability Database (NVD)
2	CVE-2014-4857	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-4857

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
Gurock Software
1	TestRail 3.1.3 released (Page 1) - Announcements - Gurock Software Support Forum:	http://forum.gurock.com/topic/1652/testrail-313-released/\

その他

No	Name	URL
JVN
1	JVNVU#99829464	https://jvn.jp/vu/JVNVU99829464/
US-CERT Vulnerability Note
2	VU#669804	https://www.kb.cert.org/vuls/id/669804

Change Log

No	Changed Details	Date of change
0	[2014年07月25日] 掲載 [2014年07月30日] 参考情報：National Vulnerability Database (NVD) (CVE-2014-4857) を追加	Feb. 17, 2018, 10:37 a.m.