Изменение цены товаров в Yahoo! Store shopping cart

Дата публикации:
26.09.2004
Всего просмотров:
866
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: Yahoo! Store Commerce System

Описание: Уязвимость обнаружена в Yahoo! Store shopping cart. Удаленный пользователь может изменить цену покупки.

В течении торговой транзакции, удаленный пользователь может представить измененный HMTP к Yahoo! Store commerce сайту с измененным параметром цены. Торговая система оформит заказ, основываясь на представленной пользователем цене, даже если она имеет отрицательное значение. Пример:

 <SELECT NAME="Express Shipping">
<OPTION>No</OPTION>
<OPTION>Yes (+8.95)</OPTION>
</SELECT>

URL производителя: http://smallbusiness.yahoo.com/merchant/

Решение: Yahoo! устранила проблему 8 сентября.

Ссылки: Yahoo! Store Security Advisory