Межсайтовый скриптинг в osCommerce

Дата публикации:
25.03.2003
Всего просмотров:
2774
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
osCommerce 2.x
Описание: Уязвимость в проверке правильности ввода обнаружена в osCommerce. Удаленный пользователь может выполнить XSS нападение и внедриться в сессию другого пользователя.

Как сообщается, несколько компонентов в osCommerce не фильтруют ввод пользователя. В результате, удаленный пользователь может сконструировать URL, который, при загрузке целевым пользователем, выполнит произвольный код сценария в браузере целевого пользователя. Пример:

http://[target]/default.php?error_message=%3Cscript%20language=javascript%3Ewindow.alert%28document.cookie%29 ;%3C/script%3E
Также уязвима переменная 'info_message' в нескольких сценариях.

Уязвимость обнаружена в osCommerce Prior to March 14, 2003; 2.2ms1

Ссылки: osCommerce multiple XSS vulnerabilities

или введите имя

CAPTCHA