Межсайтовый скриптинг в JShop

Дата публикации:
03.02.2005
Всего просмотров:
841
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
JShop Server 1.x
Уязвимые версии: JShop версии до 1.2.0

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить важные данные других пользователей.

Уязвимость существует в JShop в сценарии product.php при обработке параметров 'xProd' и 'xSec'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы. Примеры:

product.php?xSec=1&xProd=7"><script> alert(document.domain);</script>
product.php?xSec=1"><script>alert(d ocument.domain);</script>&xProd=7

URL производителя: http://jshop.co.uk/products_jss.php

Решение: Установите исправление с сайта производителя.

Ссылки: JShop Input Validation Flaw in 'product.php' Lets Remote Users Conduct Cross-Site Scripting Attacks

или введите имя

CAPTCHA