Межсайтовый скриптинг в Naxtor Shopping Cart

Дата публикации:
04.08.2005
Всего просмотров:
1416
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-2476
CVE-2005-2477
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Naxtor Shopping Cart 1.x
Уязвимые версии: Naxtor Shopping Cart 1.0

Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение и получить доступ к потенциально важным данным других пользователей.

Уязвимость обнаружена в сценарии 'lost_password.php' при обработке входных данных. Удаленный пользователь может с помощью специально сформированного URL выполнить произвольный HTML сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

http://[target]/lost_password.php?&email=<script>var%20xss=
31337;alert(xss); </script>&reset=reset
Удаленный пользователь может также с помощью специально сформированного URL получить данные о системе. Пример:
http://[target]/shop_display_products.php?cat_id='

URL производителя: www.naxtor.com.au

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Naxtor Shopping Cart 'lost_password.php' Permits Cross-Site Scripting Attacks

или введите имя

CAPTCHA