SQL-инъекция и межсайтовый скриптинг в OneWorldStore

Дата публикации:	18.04.2005
Всего просмотров:	1409
Опасность:	Средняя
Наличие исправления:
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:
	Уязвимые версии: OneWorldStore Описание: Уязвимость позволяет удаленному пользователю произвести XSS нападение и выполнить произвольные SQL команды в базе данных уязвимого приложения. Уязвимость существует в нескольких сценариях из-за недостаточной проверки входных данных. Удаленный пользователь может выполнить произвольные SQL команды в базе данных приложения. Примеры: http://[target]/owBasket/owAddItem.asp? idProduct='SQL_INJECTION http://[target]/owListProduct.asp?bSpecials ='SQL_INJECTION http://[tar get]/owListProduct.asp?idCategory ='SQL_INJECTION http://[target]/owProductDetail.asp?idproduc t='SQL_INJECTION http://[target]/owProductDetail.asp?sAction= ProductRev iew&idProduct='SQL_INJECTION &idCategory=40&sUserName=&sUserEmail=&sRating=1& Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Примеры: http://[target]/owContactUs.asp?sAction= Contact&sName=&sEmail='%22%3E%3 Cscript%3Ealert(document.cookie)%3C/ script%3E&sType=None+Specified& http://[target]/owListProduct.asp?bSub= '%22%3E%3Cscript%3Ealert(document. cookie)%3C/script%3E&idCat egory=64 http://example.com/owListProduct.asp?bSub=; URL производителя: oneworldstore.com Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки:	multiple sql injection/errors and xss vulnerabilities in oneworldstore

SQL-инъекция и межсайтовый скриптинг в OneWorldStore

Подпишитесь на email рассылку