CVE-2009-4237 in TestLink
要約
〜によって VulDB • 2026年06月24日
TestLink 1.8.5 より前のバージョンには、複数のクロスサイトスクリプティング(XSS)の脆弱性が存在します。これにより、攻撃者は (1) login.php の req パラメータを介して任意の Web スクリプトや HTML を注入し、リモートから実行できます。また、認証済みユーザーは、(2) lib/general/staticPage.php の key パラメータ、(3) lib/attachments/attachmentupload.php の tableName パラメータ、または (4) startDate、(5) endDate、(6) logLevel 各パラメータを lib/events/eventviewer.php に渡すことで、任意の Web スクリプトや HTML を注入できます。さらに、lib/results/resultsMoreBuilds_buildReport.php の search_notes_string パラメータ(7)、および lib/testcases/searchData.php で find アクション時に使用される expected_results、name、steps、summary 各パラメータ(8-11)を介しても同様の注入が可能であり、これらは lib/functions/database.class.php に起因するものです。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.