Security Lab

Межсайтовый скриптинг в JShop

Дата публикации:03.02.2005
Всего просмотров:1104
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: JShop Server 1.x
Уязвимые версии: JShop версии до 1.2.0

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить важные данные других пользователей.

Уязвимость существует в JShop в сценарии product.php при обработке параметров 'xProd' и 'xSec'. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы. Примеры:

product.php?xSec=1&xProd=7"><script> alert(document.domain);</script>
product.php?xSec=1"><script>alert(d ocument.domain);</script>&xProd=7

URL производителя: http://jshop.co.uk/products_jss.php

Решение: Установите исправление с сайта производителя.

Ссылки: JShop Input Validation Flaw in 'product.php' Lets Remote Users Conduct Cross-Site Scripting Attacks