Security Lab

Обход ограничений безопасности в e-gold

Дата публикации:15.03.2006
Дата изменения:06.04.2009
Всего просмотров:2557
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: e-gold

Описание:
Уязвимость позволяет удаленному пользователю произвести CSRF нападение.

Уязвимость существует из-за недостаточной проверки подлинности пользователя в сценарии confirm.asp. Удаленный пользователь может обманом заставить авторизованного пользователя нажать на специально сформированною ссылку и перевести деньги с его счета на счет любого пользователя. Пример:

https://www.e-gold.com/acct/confirm.asp?AccountID=123456&
PassPhrase=somestring&PayeeAccount=MY_ACCOUNT&Amount=100

URL производителя: www.e-gold.com

Решение: Уязвимость устранена.

Об уязвимости сообщил nestling (shurik.f_(at)_gmail.com)

Ссылки: Vulnerability in e-gold