| タイトル | TestLink におけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| 概要 | TestLink は、lib/functions/database.class.php に関する処理に不備があるため、クロスサイトスクリプティングの脆弱性が存在します。 |
| 想定される影響 | 以下の影響を受ける可能性があります。 (1) 第三者により、login.php への req パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (2) リモート認証されたユーザにより、lib/general/staticPage.php への key パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (3) リモート認証されたユーザにより、lib/attachments/attachmentupload.php への tableName パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (4) リモート認証されたユーザにより、lib/events/eventviewer.php への startDate パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (5) リモート認証されたユーザにより、lib/events/eventviewer.php への endDate パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (6) リモート認証されたユーザにより、lib/events/eventviewer.php への logLevel パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (7) リモート認証されたユーザにより、lib/results/resultsMoreBuilds_buildReport.php への search_notes_string パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (8) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの expected_results パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (9) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの name パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (10) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの steps パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 (11) リモート認証されたユーザにより、lib/testcases/searchData.php への find アクションの summary パラメータを介して、任意の Web スクリプトまたは HTML を挿入される可能性 |
| 対策 | ベンダ情報および参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2009年12月10日0:00 |
| 登録日 | 2012年12月20日19:28 |
| 最終更新日 | 2012年12月20日19:28 |
| CVSS2.0 : 注意 | |
| スコア | 3.5 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:N/I:P/A:N |
| TestLink Development Team |
| TestLink 1.8.5 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年12月20日] 掲載 |
2018年2月17日10:37 |
| 概要 | Multiple cross-site scripting (XSS) vulnerabilities in TestLink before 1.8.5 allow remote attackers to inject arbitrary web script or HTML via (1) the req parameter to login.php, and allow remote authenticated users to inject arbitrary web script or HTML via (2) the key parameter to lib/general/staticPage.php, (3) the tableName parameter to lib/attachments/attachmentupload.php, or the (4) startDate, (5) endDate, or (6) logLevel parameter to lib/events/eventviewer.php; (7) the search_notes_string parameter to lib/results/resultsMoreBuilds_buildReport.php; or the (8) expected_results, (9) name, (10) steps, or (11) summary parameter in a find action to lib/testcases/searchData.php, related to lib/functions/database.class.php. |
|---|---|
| 公表日 | 2009年12月11日8:30 |
| 登録日 | 2021年1月29日13:26 |
| 最終更新日 | 2024年2月14日10:17 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:teamst:testlink:1.7:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:teamst:testlink:1.7.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:teamst:testlink:1.8.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:teamst:testlink:1.8.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:teamst:testlink:*:*:*:*:*:*:*:* | 1.8.4 | ||||
| cpe:2.3:a:teamst:testlink:1.8:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:teamst:testlink:1.8.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:teamst:testlink:1.8.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:teamst:testlink:1.7.4:*:*:*:*:*:*:* | |||||