Security Lab

Cross-Site Scripting в Actinic Catalog

Дата публикации:11.02.2002
Всего просмотров:924
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Actinic Catalog - приложение, разработанное для Web сайтов электронной коммерции и будет работать на большинстве Windows и Unix систем.

Actinic Catalog не достаточно фильтрует HTML тэги, включая код сценария, от URL параметров. Возможно создать злонамеренную связь, содержащую произвольный код сценария. Когда законный пользователь просматривает злонамеренную ссылку, код сценария будет выполнен в броузере пользователя в контексте web узла, выполняющего Actinic Catalog. Возможно также создать злонамеренную ссылку к уязвимой форме, которая содержит произвольный код сценария.

Уязвимость найдена в Actinic Catalog 4.7

Пример: /ca000001.pl?ACTION=SHOWCART&hop="><script>alert('HoP!')</script>&PATH=acatalog%2f

Ссылки: Источник

http://www.actinic.com/home.html