HP Quality Center Cached Workflow腳本安全繞過漏洞

BUGTRAQ ID: 33854
CVE ID：CVE-2007-5289
CNCVE ID：CNCVE-20075289
 
漏洞消息時間:2009-02-23
 
漏洞起因
設計錯誤
 
影響系統
HP Quality Center 9.2
HP Quality Center 9.0
 
不受影響系統
 
危害
遠程攻擊者可以利用漏洞繞過部分安全限制。
 
攻擊所需條件
攻擊者必須訪問HP Quality Center。
 
漏洞信息
HP Quality Center是質量管理中心解決方案，可管理和控制質量流程。
HP Quality Center存在安全漏洞，遠程攻擊者可以利用漏洞繞過部分安全限制。
應用程序不安全處理緩存workflow腳本(如common.tds, defects.tds, manrun.tds, req.tds, testlab.tds和testplan.tds)，通過覆蓋受影響文件和使用OTA API可覆蓋數據庫項目或執行受限操作。
 
測試方法
 
廠商解決方案
可聯系供應商獲得補丁信息：
https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn=bto&cp=1-11-127-24^1131_4000_100__
 
漏洞提供者
Raulet
 
漏洞消息鏈接
http://blogs.exposit.co.uk/2009/02/23/vulnerability-in-quality-center/
 
漏洞消息標題
Vulnerability in Quality Center

原文轉自：http://www.anti-gravitydesign.com