Множественные уязвимости в OXID eShop

Дата публикации:
21.09.2009
Дата изменения:
21.09.2009
Всего просмотров:
2668
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2009-2266
CVE-2009-3112
CVE-2009-3113
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
OXID eshop 4.x
Уязвимые версии: OXID eShop версии до 4.1.4-21266

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности и получить доступ к важным данным.

1. Уязвимость существует из-за недостаточного ограничения доступа к административному интерфейсу приложения. Удаленный пользователь может с помощью специально сформированного URL получить доступ к административному интерфейсу.

2. Уязвимость существует из-за того, что приложение недостаточного ограничивает доступ на запись для отзывов о продуктах. Удаленный пользователь может добавить определенный параметр к ссылке и изменить данные на Web сайте.

3. Уязвимость существует из-за ошибки при обработке определенных параметров в файле куки. Удаленный пользователь может получить доступ к сессионным данным незарегистрированных пользователей, которые содержат личные данные пользователя и историю заказов.

URL производителя: www.oxid-esales.com

Решение: Установите последнюю версию 4.1.4-21266 с сайта производителя.

Ссылки: http://www.oxidforge.org/wiki/Security_bulletins/2009-001
http://www.oxidforge.org/wiki/Security_bulletins/2009-002
http://www.oxidforge.org/wiki/Security_bulletins/2009-003

или введите имя

CAPTCHA