ashmans/Bill Echlin QaTraq 多个跨站脚本攻击漏洞

漏洞信息详情

ashmans/Bill Echlin QaTraq 多个跨站脚本攻击漏洞

• CNNVD编号：CNNVD-200606-601
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-3312
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2006-06-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-21
  
• 厂        商：
  
  qatraq
• 漏洞来源：
  Nenad Jovanovic i…

ashmans和Bill Echlin QaTraq 6.5 RC及更早版本中的多个跨站脚本攻击(XSS)漏洞，可让远程攻击者通过以下方式注入任意Web脚本或HTML：queries_view_search.php中包含的top.inc 中的(1) link_print、(2) link_upgrade、(3) link_sql、(4) link_next、(5) link_prev和(6) link_list参数；(a) components_copy_content.php、(b) components_modify_content.php和(c) components_new_content.php中的(7) msg、(8) component_name和(9) component_desc参数；design_copy_content.php中的(10) title、(11) version和(12) content参数；design_copy_plan_search.php中的(13) plan_title和(14) plan_content参数；design_modify_content.php中的(15) title、(16) minor_version、(17) new_version和(18) content参数；design_new_content.php中的(19) title、(20) version和(21) content参数；design_new_search.php中的(22) plan_name和(23) plan_desc参数；download.php中的(24) file_name参数；login.php中的(25) username和(26) password参数；phase_copy_content.php中的(27) title、(28) version和(29) content参数；phase_delete_search.php中的(30) content参数；phase_modify_content.php中的(31) title、(32) minor_version、(33) new_version和(34) content参数；phase_modify_search.php中的(35) content、(36) title、(37) version和(38) content参数；phase_view_search.php中的(39) content参数；products_copy_content.php中的(40) msg、(41) product_name和(42) product_desc参数；可能还有(d) products_copy_search.php中的(43) product_name和(44) product_desc参数，以及大量其他的参数和可执行文件。注意：供应商通过电子邮件通过CVE，已在6.8 RC版本中解决了此问题。

目前厂商已经发布了相关补丁，请到厂商的主页下载：

QaTraq QaTraq 6.7 rc

QaTraq qatraq_6_8_rc.tar.gz

http://prdownloads.sourceforge.net/qatraq/qatraq_6_8_rc.tar.gz

QaTraq QaTraq 6.6 rc

QaTraq qatraq_6_8_rc.tar.gz

http://prdownloads.sourceforge.net/qatraq/qatraq_6_8_rc.tar.gz

QaTraq QaTraq 6.5

QaTraq qatraq_6_8_rc.tar.gz

http://prdownloads.sourceforge.net/qatraq/qatraq_6_8_rc.tar.gz

来源: www.testmanagement.com

链接:http://www.testmanagement.com/

来源: BID

名称: 18620

链接:http://www.securityfocus.com/bid/18620

来源: BUGTRAQ

名称: 20060623 QaTraq 6.5 RC: Multiple XSS Vulnerabilities

链接:http://www.securityfocus.com/archive/1/archive/1/438151/100/0/threaded

来源: OSVDB

名称: 27616

链接:http://www.osvdb.org/27616

来源: OSVDB

名称: 27615

链接:http://www.osvdb.org/27615

来源: OSVDB

名称: 27614

链接:http://www.osvdb.org/27614

来源: OSVDB

名称: 27613

链接:http://www.osvdb.org/27613

来源: OSVDB

名称: 27612

链接:http://www.osvdb.org/27612

来源: OSVDB

名称: 27611

链接:http://www.osvdb.org/27611

来源: OSVDB

名称: 27610

链接:http://www.osvdb.org/27610

来源: OSVDB

名称: 27609

链接:http://www.osvdb.org/27609

来源: OSVDB

名称: 27608

链接:http://www.osvdb.org/27608

来源: OSVDB

名称: 27607

链接:http://www.osvdb.org/27607

来源: OSVDB

名称: 27606

链接:http://www.osvdb.org/27606

来源: OSVDB

名称: 27605

链接:http://www.osvdb.org/27605

来源: OSVDB

名称: 27601

链接:http://www.osvdb.org/27601

来源: OSVDB

名称: 27600

链接:http://www.osvdb.org/27600

来源: OSVDB

名称: 27599

链接:http://www.osvdb.org/27599

来源: VIM

名称: 20060811 QaTraq multiple cross-site scripting vulnerabilities (fwd)

链接:http://www.attrition.org/pipermail/vim/2006-August/000969.html

来源: SECTRACK

名称: 1016381

链接:http://securitytracker.com/id?1016381

来源: MISC

链接:http://seclab.tuwien.ac.at/advisories/TUVSA-0606-001.txt

来源: XF

名称: qatraq-multiple-xss(27355)

链接:http://xforce.iss.net/xforce/xfdb/27355

来源: OSVDB

名称: 27604

链接:http://www.osvdb.org/27604

来源: OSVDB

名称: 27603

链接:http://www.osvdb.org/27603

来源: OSVDB

名称: 27602

链接:http://www.osvdb.org/27602

来源: SREASON

名称: 1169

链接:http://securityreason.com/securityalert/1169