Vulnerabilità: CVE-2006-3312

Molteplici cross-site scripting (XSS) vulnerabilità in ashmans e Bill Echlin QaTraq 6.5 RC e precedenti consentono aggressori remoti di inserire lo script web arbitraria o HTML tramite la (1) link_print, (2) link_upgrade, (3) link_sql, (4) link_next , (5) link_prev, e (6) parametri link_list in top.inc come inclusi da queries_view_search.php; la (7) msg, (8) nome_componente, e (9) parametri component_desc in (a) components_copy_content.php, (b) components_modify_content.php, e (c) components_new_content.php; la (10) il titolo, (11) la versione, e (12) i parametri contenuti in design_copy_content.php; la (13) plan_title e (14) parametri plan_content in design_copy_plan_search.php; la (15) titolo, (16) minor_version, (17) NEW_VERSION, e (18) i parametri contenuti in design_modify_content.php; la (19) titolo, (20) versione, e (21) i parametri contenuti in design_new_content.php; la (22) e plan_name (23) parametri plan_desc in design_new_search.php; la (24) parametro nome_file in download.php; la (25) username e (26) i parametri di password in login.php; la (27) il titolo, (28) la versione, e (29) i parametri contenuti in phase_copy_content.php; la (30) parametro contenuto in phase_delete_search.php; la (31) titolo, (32) minor_version, (33) NEW_VERSION, e (34) i parametri contenuti in phase_modify_content.php; la (35) contenuto, (36) il titolo, (37) versione, e (38) i parametri contenuti in phase_modify_search.php; la (39) parametro contenuto in phase_view_search.php; la (40) msg, (41) product_name, e (42) parametri product_desc in products_copy_content.php; e possibilmente la (43) e product_name parametri (44) product_desc a (d) products_copy_search.php, e un gran numero di parametri ed eseguibili aggiuntivi. NOTA: il CVE comunicato venditore via e-mail che questo problema è stato risolto nella versione 6.8 RC.


http://www.securityfocus.com/bid/18620
http://www.securityfocus.com/archive/1/438151/100/0/threaded
http://www.testmanagement.com/
http://seclab.tuwien.ac.at/advisories/TUVSA-0606-001.txt
http://www.osvdb.org/27599
http://www.osvdb.org/27600
http://www.osvdb.org/27601
http://www.osvdb.org/27602
http://www.osvdb.org/27603
http://www.osvdb.org/27604
http://www.osvdb.org/27605
http://www.osvdb.org/27606
http://www.osvdb.org/27607
http://www.osvdb.org/27608
http://www.osvdb.org/27609
http://www.osvdb.org/27610
http://www.osvdb.org/27611
http://www.osvdb.org/27612
http://www.osvdb.org/27613
http://www.osvdb.org/27614
http://www.osvdb.org/27615
http://www.osvdb.org/27616
http://securitytracker.com/id?1016381
http://securityreason.com/securityalert/1169
http://www.attrition.org/pipermail/vim/2006-August/000969.html
https://exchange.xforce.ibmcloud.com/vulnerabilities/27355
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3312


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi