Vulnerabilidad en TestLink (CVE-2015-7391)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

26/09/2017

Última modificación:

20/04/2025

Descripción

Múltiples vulnerabilidades de Cross-Site Scripting (XSS) en las versiones anteriores a 1.9.14 de TestLink permiten que los atacantes remotos inyecten scripts web o HTML arbitrarios mediante los parámetros (1) selected_end_date o (2) selected_start_date a lib/results/tcCreatedPerUserOnTestProject.php; el parámetro (3) containerType a lib/testcases/containerEdit.php; el parámetro (4) filter_tc_id o el parámetro (5) filter_testcase_name a lib/testcases/listTestCases.php; el parámetro (6) useRecursion a lib/testcases/tcImport.php; los parámetros (7) targetTestCase o (8) created_by a lib/testcases/tcSearch.php; o la cabecera (9) HTTP Referer a third_party/user_contribution/fakeRemoteExecServer/client4fakeXMLRPCTestRunner.php.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:M/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.30 MEDIA
Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno