漏洞标题
N/A
漏洞描述信息
在Gurock TestRail 5.6.0.3853中发现了一个问题。在图像上传表格(在描述编辑器中可用)中存在一个“不受限制的文件上传”漏洞,允许远程授权用户通过上传一个具有可执行扩展名但安全Content-Type值的图像文件,执行任意代码,然后通过向文件上传目录中对该文件的直接请求访问它(如果根据服务器配置可访问)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered in Gurock TestRail 5.6.0.3853. An "Unrestricted Upload of File" vulnerability exists in the image-upload form (available in the description editor), allowing remote authenticated users to execute arbitrary code by uploading an image file with an executable extension but a safe Content-Type value, and then accessing it via a direct request to the file in the file-upload directory (if it's accessible according to the server configuration).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Gurock Software Gurock TestRail 安全漏洞
漏洞描述信息
Gurock Software Gurock TestRail是德国Gurock Software公司的一套基于Web的、用于QA和开发团队的测试用例管理软件。该软件支持创建测试用例、管理测试套件和协调测试过程等。 Gurock Software Gurock TestRail 5.6.0.3853版本中的图像上传表单存在任意文件上传漏洞。远程攻击者可通过上传带有可执行扩展名的图像利用该漏洞执行任意代码。
CVSS信息
N/A
漏洞类别
授权问题