网站首页 | 大学首页
当前位置: 首页>>漏洞公告>>正文
关于TestLink_SQL注入漏洞的信息通报
2016-03-10 09:27  

近日,国家信息安全漏洞共享平台(CNVD)收录了TestLink SQL注入漏洞(CNVD-2016-01142),未经身份验证的远程攻击者可以利用该漏洞可以在应用程序的数据库注入和执行任意SQL命令。

一、危害级别

   (AV:N/AC:L/Au:N/C:P/I:P/A:P)  

二、影响产品

TestLink Testlink <=1.9.14

三、漏洞描述

Testlink是一套基于PHP的开源测试管理工具。

TestLink存在SQL注入漏洞。该漏洞产生原因在于“apikeyHTTP GET参数未能过滤,通过"lnl.php" PHP脚本,未经身份验证的远程攻击者可以在应用程序的数据库注入和执行任意SQL命令。

 

四、漏洞解决方案

目前,TestLink 1.9.15 已修复此漏洞,用户可通过以下链接下载使用:

http://mantis.testlink.org/view.php?id=7402

五、参考链接

https://www.htbridge.com/advisory/HTB23288

关闭窗口

© 2013 GDUFS |Tel:36207209 | 网站维护: 教育技术中心