Обход ограничений безопасности в e-gold

Дата публикации:
15.03.2006
Дата изменения:
06.04.2009
Всего просмотров:
2312
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: e-gold

Описание:
Уязвимость позволяет удаленному пользователю произвести CSRF нападение.

Уязвимость существует из-за недостаточной проверки подлинности пользователя в сценарии confirm.asp. Удаленный пользователь может обманом заставить авторизованного пользователя нажать на специально сформированною ссылку и перевести деньги с его счета на счет любого пользователя. Пример:

https://www.e-gold.com/acct/confirm.asp?AccountID=123456&
PassPhrase=somestring&PayeeAccount=MY_ACCOUNT&Amount=100

URL производителя: www.e-gold.com

Решение: Уязвимость устранена.

Об уязвимости сообщил nestling (shurik.f_(at)_gmail.com)

Ссылки: Vulnerability in e-gold

или введите имя

CAPTCHA