漏洞信息详情
TestLink 多个跨站请求伪造漏洞
- CNNVD编号:CNNVD-201209-341
- 危害等级: 中危
- CVE编号: CVE-2012-2275
- 漏洞类型: 跨站请求伪造
- 发布时间: 2012-09-19
- 威胁类型: 远程
- 更新时间: 2012-09-19
- 厂 商: teamst
- 漏洞来源:
漏洞简介
Testlink是TestLink团队开发的一套基于PHP的开源测试管理工具。该工具提供测试需求管理、测试用例管理和测试数据统计等功能。
TestLink 1.9.3版本和较早版本中存在多个跨站请求伪造(CSRF)漏洞。远程攻击者可利用该漏洞通过lib/usermanagement/userInfo.php中的editUser操作劫持用户的身份认证添加、删除或修改敏感信息的请求,如更改管理员的电子邮件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.htbridge.com/advisory/HTB23088
参考网址
来源: gitorious.org
链接:http://gitorious.org/testlink-ga/testlink-code/commit/c8751a3c9ad8970b49d1bf882203efacd10af087
来源: gitorious.org
链接:http://gitorious.org/testlink-ga/testlink-code/commit/2d4ac941314f8bda80e265c9de8bacf17d1cd3e6
来源: gitorious.org
链接:http://gitorious.org/testlink-ga/testlink-code/commit/252788c2373e73173172ada9af661e0721599891
来源: www.htbridge.com
链接:https://www.htbridge.com/advisory/HTB23088
来源: XF
名称: testlink-userinfo-csrf(78306)
链接:http://xforce.iss.net/xforce/xfdb/78306
来源: EXPLOIT-DB
名称: 21135
链接:http://www.exploit-db.com/exploits/21135
来源: packetstormsecurity.org
链接:http://packetstormsecurity.org/files/116275/TestLink-1.9.3-Cross-Site-Request-Forgery.HTML
来源: BUGTRAQ
名称: 20120905 Cross-Site Request Forgery (CSRF) in TestLink
链接:http://archives.neohapsis.com/archives/bugtraq/2012-09/0023.HTML
受影响实体
- Teamst Testlink:1.7.4
- Teamst Testlink:1.8:Beta1
- Teamst Testlink:1.8.3
- Teamst Testlink:1.8.2
- Teamst Testlink:1.8.4
补丁
- testlink-xsrf
评论