CVE-2009-4237 in TestLink信息

摘要

由 VulDB • 2026-06-24

在 TestLink 1.8.5 之前的版本中存在多个跨站脚本(XSS)漏洞,远程攻击者可通过向 login.php 发送的 req 参数注入任意 Web 脚本或 HTML;已认证的远程用户则可通过以下途径注入任意 Web 脚本或 HTML:(2) lib/general/staticPage.php 中的 key 参数、(3) lib/attachments/attachmentupload.php 中的 tableName 参数,以及 (4) startDate、(5) endDate 或 (6) logLevel 这些向 lib/events/eventviewer.php 发送的参数;此外还涉及通过以下途径注入:(7) 向 lib/results/resultsMoreBuilds_buildReport.php 发送的 search_notes_string 参数;或在针对 lib/testcases/searchData.php 的执行查找操作(find action)中,使用 (8) expected_results、(9) name、(10) steps 或 (11) summary 这些参数。上述漏洞与 lib/functions/database.class.php 相关。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

来源

Do you need the next level of professionalism?

Upgrade your account now!